構築事例：Google AuthenticatorとFreeRADIUSを使ったOTP認証

VPN装置でOTPを使いたいというご要望がありました。VPN装置には、既存の機器をそのまま利用したいということで、Google AuthenticatorとFreeRADIUSを組み合わせたシステムを提案しました。

OSSのOTP Google Authenticatorを利用

OTPの仕組みとしては、Google Authenticatorを利用しました。Google Authenticatorは、Googleが公開しているOTPの仕組みです。スマートフォンにインストールするアプリと、サーバ側のソフトウェアが連携して動作します。実際の動作は、次のようになります。

1. ユーザは、VPNに接続する時にGoogle Authenticatorアプリを利用してOTPを入手します。
2. ユーザは、VPN装置に接続してユーザ名とOTPを入力します。
3. VPN装置は、RADIUSサーバに認証リクエストを送ります。
4. RADIUSサーバは、Google Authenticatorを使って認証を行い、結果を返却します。

FreeRADIUSとGoogle AuthenticatorでOTPを実現

本システムでは、RADIUSサーバとしてFreeRADIUSを利用しました。RADIUSサーバにGoogle Authenticatorをインストールし、FreeRADIUSと連携できるように設定を行うことで、OTPの認証リクエストを処理できるようになりました。

「OTP(ワンタイムパスワード)とは」へ

ActiveDirectoryとの連携

ユーザ名などの認証以外のユーザ情報は、ActiveDirectoryから情報を取得するように設定を行いました。そのため、ユーザ管理はActiveDirectory側で行うことができます。

「OTP(ワンタイムパスワード)の連携」へ

VPN利用ユーザ制限

さらに、ActiveDirectoryで設定した特定のグループのユーザだけがVPN装置を利用できるようにしました。これによって、ActiveDirectoryのユーザ設定だけで、VPNの利用を管理できるようになりました。

認証サーバ構築の事例一覧

• OpenLDAPによるLDAPサーバのユーザ統合管理システム事例
• OpenLDAPによるLDAPサーバのマルチマスタ構成事例
• LDAPサーバ冗長化事例
• RADIUSサーバ事例
• CaptivePortalを利用したSNS認証事例
• Google AuthenticatorとFreeRADIUSを使ったOTP認証事例
• daloRADIUSを使用したRADIUSサーバ事例
• 389 Directory Serverを利用したLDAPサーバ事例
• OpenXPKIを利用したプライベート認証局事例
• Nginxを利用したクライアント認証サーバ導入事例
• FreeRADIUSを利用した認証サーバ事例
• Amazon Linux 2へ認証サーバOSの移行事例
• Keycloakを利用したシングルサインオン認証サーバの導入事例
• 管理の負担を軽減したKeycloakによるシングルサインオンサーバ構築事例
• 多要素認証にTOTPを利用したKeycloakサーバ導入事例