構築事例：Google AuthenticatorとFreeRADIUSを使ったOTP認証

Open Smart Design

VPN装置でOTP(ワンタイムパスワード)を使いたいというご要望があり、Google Authenticatorを使ったシステムを構築しました。スマートフォンのGoogle Authenticatorアプリで表示されたOTPを使ってVPN装置と連携することで、セキュリティが向上しました。OSSのFreeRADIUSとGoogle Authenticatorを利用してシステムを構築しました。

お客様が悩まれていた課題: 社外からのアクセス時のセキュリティを向上したい既存のVPN機器を流用したいユーザ管理はActiveDirectoryと連携したい

+導入企業プロフィール: ★
導入企業業種

サービス業（愛知県名古屋市）

ユーザー規模

260名

利用OS

CentOS 7.2

導入月

2016年11月

デージーネットが提案した「Google AuthenticatorとFreeRADIUSを使ったOTP認証」

アイコン男性

Google AuthenticatorとFreeRADIUSを連携

VPN装置でOTPを使いたいというご要望がありました。VPN装置には、既存の機器をそのまま利用したいということで、Google AuthenticatorとFreeRADIUSを組み合わせたシステムを提案しました。

OSSのOTP Google Authenticatorを利用

OTPの仕組みとしては、Google Authenticatorを利用しました。Google Authenticatorは、Googleが公開しているOTPの仕組みです。スマートフォンにインストールするアプリと、サーバ側のソフトウェアが連携して動作します。実際の動作は、次のようになります。

ユーザは、VPNに接続する時にGoogle Authenticatorアプリを利用してOTPを入手します。
ユーザは、VPN装置に接続してユーザ名とOTPを入力します。
VPN装置は、RADIUSサーバに認証リクエストを送ります。
RADIUSサーバは、Google Authenticatorを使って認証を行い、結果を返却します。

Google

FreeRADIUSとGoogle AuthenticatorでOTPを実現

本システムでは、RADIUSサーバとしてFreeRADIUSを利用しました。RADIUSサーバにGoogle Authenticatorをインストールし、FreeRADIUSと連携できるように設定を行うことで、OTPの認証リクエストを処理できるようになりました。

「OTP(ワンタイムパスワード)とは」へ

ActiveDirectoryとの連携

ユーザ名などの認証以外のユーザ情報は、ActiveDirectoryから情報を取得するように設定を行いました。そのため、ユーザ管理はActiveDirectory側で行うことができます。

「OTP(ワンタイムパスワード)の連携」へ

VPN利用ユーザ制限

さらに、ActiveDirectoryで設定した特定のグループのユーザだけがVPN装置を利用できるようにしました。これによって、ActiveDirectoryのユーザ設定だけで、VPNの利用を管理できるようになりました。

導入後の結果

アイコン女性

社外からのアクセス時に、OTPが利用できるようになり、セキュリティが向上しました。ユーザ管理もActiveDirectoryのみで行うことができるため、システム管理者の負担もほとんどないと評価をいただいています。

【追加日程】【Webセミナー】『Rocky Linux』VS『AlmaLinux』 CentOS8の代替OS比較セミナー

日程：	9月29日（水）Webセミナー「BigBlueButton」を使用します。
内容：	今回は、新たに『Rocky Linux』を調査・検証しました！調査結果を踏まえ『AlmaLinux』と『Rocky Linux』を比較検討します。
ご興味のあるかたはぜひご参加ください。

セミナー申込