多要素認証についての質問
306 views
Skip to first unread message
大西麻未
Aug 23, 2016, 1:36:37 AM8/23/16
to OpenVPN Japan Users Group
OpenVPNには、以下の機能はありますでしょうか。
①ユーザのID・パスワードの認証(LDAP認証)
⇒OpenLDAPと連携して実現したい
②RADIUS認証
③多要素認証(二要素認証でも可)
お答えいただけますと幸いです。
①ユーザのID・パスワードの認証(LDAP認証)
⇒OpenLDAPと連携して実現したい
②RADIUS認証
③多要素認証(二要素認証でも可)
お答えいただけますと幸いです。
Taro Yamazaki
Aug 23, 2016, 2:48:45 AM8/23/16
to openvpn-japa...@googlegroups.com
こんにちは、やまざきです。
OpenVPNのID/パスワード認証は、プラグインという形で対応します。
ユーザーが入力したIDとパスワードを受け取り、認証OKかNGかを返すスクリプト
やプログラムを使って認証処理を行います。
認証方式の概要やサンプルは拙著ブログをご参照ください。
http://yamatamemo.blogspot.jp/2013/02/openvpn_18.html
したがって、認証システム自体は作成する必要がありますが、ご要望の方法はい
ずれも実現は可能かと思います。特にLDAP(ADも含む)+OpenVPNの組み合わせ
はよく使用されており、運用実績も多いと思います。
# LDAPについてはプラグイン(openvpn-auth-ldap)が公開されていますので、
# 参考にしてください。
# https://github.com/threerings/openvpn-auth-ldap
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。
--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/
大西麻未
Aug 23, 2016, 4:46:44 AM8/23/16
to OpenVPN Japan Users Group
やまざきさん
ご回答ありがとうございます!
> OpenVPNのID/パスワード認証は、プラグインという形で対応します。
> ユーザーが入力したIDとパスワードを受け取り、認証OKかNGかを返すスクリプトやプログラムを使って認証処理を行います。
> 認証方式の概要やサンプルは拙著ブログをご参照ください。
> http://yamatamemo.blogspot.jp/2013/02/openvpn_18.html
ブログを参考にさせて頂きながら、ID/パスワード認証の部分は構築していこうと思います。
ありがとうございます!
> したがって、認証システム自体は作成する必要がありますが、
> ご要望の方法はいずれも実現は可能かと思います。
ご回答ありがとうございます!
> OpenVPNのID/パスワード認証は、プラグインという形で対応します。
> ユーザーが入力したIDとパスワードを受け取り、認証OKかNGかを返すスクリプトやプログラムを使って認証処理を行います。
> 認証方式の概要やサンプルは拙著ブログをご参照ください。
> http://yamatamemo.blogspot.jp/2013/02/openvpn_18.html
ブログを参考にさせて頂きながら、ID/パスワード認証の部分は構築していこうと思います。
ありがとうございます!
> したがって、認証システム自体は作成する必要がありますが、
> ご要望の方法はいずれも実現は可能かと思います。
> 特にLDAP(ADも含む)+OpenVPNの組み合わせ はよく使用されており、運用実績も多いと思います。
ご回答ありがとうございます。
以下の2つもプラグインという形で対応することとなるのでしょうか?
②RADIUS認証
③多要素認証(二要素認証でも可)
やりたいこととしては、
SSL-VPNサーバ、認証サーバ、LDAPサーバを連携し、
多要素認証(マトリクス照合等)で認証されたユーザ端末と
サーバ間でSSL-VPN接続を行いたいと考えています。
SSL-VPNサーバ、認証サーバ間ではRADIUSプロトコルを利用して
データを連携する想定です。
なかなか参考サイトが見つからず困っています。。
可能であれば、OpenVPNでの実現方法(方針)、
参考サイトを教えていただけると非常に助かります。
以上です。
お手数をお掛けいたしますが、何卒よろしくお願い致します。
2016年8月23日火曜日 15時48分45秒 UTC+9 Taro Yamazaki:
以下の2つもプラグインという形で対応することとなるのでしょうか?
②RADIUS認証
③多要素認証(二要素認証でも可)
やりたいこととしては、
SSL-VPNサーバ、認証サーバ、LDAPサーバを連携し、
多要素認証(マトリクス照合等)で認証されたユーザ端末と
サーバ間でSSL-VPN接続を行いたいと考えています。
SSL-VPNサーバ、認証サーバ間ではRADIUSプロトコルを利用して
データを連携する想定です。
なかなか参考サイトが見つからず困っています。。
可能であれば、OpenVPNでの実現方法(方針)、
参考サイトを教えていただけると非常に助かります。
以上です。
お手数をお掛けいたしますが、何卒よろしくお願い致します。
2016年8月23日火曜日 15時48分45秒 UTC+9 Taro Yamazaki:
こんにちは、やまざきです。
OpenVPNのID/パスワード認証は、プラグインという形で対応します。
ユーザーが入力したIDとパスワードを受け取り、認証OKかNGかを返すスクリプト
やプログラムを使って認証処理を行います。
認証方式の概要やサンプルは拙著ブログをご参照ください。
http://yamatamemo.blogspot.jp/2013/02/openvpn_18.html
したがって、認証システム自体は作成する必要がありますが、ご要望の方法はい
ずれも実現は可能かと思います。特にLDAP(ADも含む)+OpenVPNの組み合わせ
はよく使用されており、運用実績も多いと思います。
# LDAPについてはプラグイン(openvpn-auth-ldap)が公開されていますので、
# 参考にしてください。
# https://github.com/threerings/openvpn-auth-ldap
On 2016/08/23 14:36, 大西麻未 wrote:
> OpenVPNには、以下の機能はありますでしょうか。
>
> ①ユーザのID・パスワードの認証(LDAP認証)
> ⇒OpenLDAPと連携して実現したい
> ②RADIUS認証
> ③多要素認証(二要素認証でも可)
>
> お答えいただけますと幸いです。
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-users-group+unsub...@googlegroups.com
> <mailto:openvpn-japan-users-group+unsubscribe@googlegroups.com> にメール
Taro Yamazaki
Aug 25, 2016, 1:48:00 AM8/25/16
to openvpn-japa...@googlegroups.com
こんにちは、やまざきです。
> 以下の2つもプラグインという形で対応することとなるのでしょうか?
> ②RADIUS認証
> ③多要素認証(二要素認証でも可)
はい、そうなります。
IDとパスワードを使って認証処理を行う部分はすべてプラグインで作成することになります。
作成が必要なので手間はかかりますが、柔軟な実装が可能になります。
おそらく、ご要望の構成ですと、認証プラグインを組み込んだOpenVPNサーバー+認証サーバー(LDAPサーバーやRADIUSサーバーなど)の組み合わせで使用することになるかと思います。
ワンタイムパスワードなどとの併用も実現できると思います。
# Google Authenticatorなどで利用できる時間ベースのワンタイムパスワード(TOTP)
# についてもブログで取り上げていますので、よろしければご参考にしてください。
# http://yamatamemo.blogspot.jp/2011/06/oath-3.html
OpenVPNの基本的な考え方としては、セキュリティを高めたいときは(管理の手間はかかりますが)証明書認証を利用するのがセオリーです。
特にパスワード付きの証明書認証になると、ID/パスワード認証よりも圧倒的に安全性は高まります。
ただ、やはり管理の手間がネックになりますので、ID/パスワード認証でいろいろと工夫するケースもあります。
注意点として、OpenVPNのID/パスワード認証でワンタイムパスワードやマトリクス照合のように毎回変わるパスワードを使用する場合、VPNのリネゴシエーション(デフォルト設定では60分ごと)のたびにIDとパスワードを入れなければならなくなるという点を考慮する必要があります。
対策としては、リネゴシエーションの間隔を伸ばすか、そもそもリネゴシエーションさせなくするという形で対応する場合があります(一回つながったユーザーはそのまま維持されるので、セキュリティ面でのトレードオフはあります)。
また、Windows限定にはなりますが、弊社が提供しているvpnux Clientには認証プラグイン機能があり、お客様のご要望に応じてPCの個体情報をもとに接続を許可するなどの仕組みもご提供しています。
ご興味がおありでしたらお問い合わせください。
http://www.plum-systems.co.jp/vpnux-client/
On 2016/08/23 17:46, 大西麻未 wrote:
> やまざきさん
>
> ご回答ありがとうございます!
>
>> OpenVPNのID/パスワード認証は、プラグインという形で対応します。
>> ユーザーが入力したIDとパスワードを受け取り、認証OKかNGかを返すスクリプトやプログラムを使って認証処理を行います。
>> 認証方式の概要やサンプルは拙著ブログをご参照ください。
>
> したがって、認証システム自体は作成する必要がありますが、ご要望の方法はい
> ずれも実現は可能かと思います。特にLDAP(ADも含む)+OpenVPNの組み合わせ
> はよく使用されており、運用実績も多いと思います。
>
> # LDAPについてはプラグイン(openvpn-auth-ldap)が公開されていますので、
> # 参考にしてください。
> # https://github.com/threerings/openvpn-auth-ldap <https://github.com/threerings/openvpn-auth-ldap>
> したがって、認証システム自体は作成する必要がありますが、ご要望の方法はい
> ずれも実現は可能かと思います。特にLDAP(ADも含む)+OpenVPNの組み合わせ
> はよく使用されており、運用実績も多いと思います。
>
> # LDAPについてはプラグイン(openvpn-auth-ldap)が公開されていますので、
> # 参考にしてください。
>
>
> On 2016/08/23 14:36, 大西麻未 wrote:
> > OpenVPNには、以下の機能はありますでしょうか。
> >
> > ①ユーザのID・パスワードの認証(LDAP認証)
> > ⇒OpenLDAPと連携して実現したい
> > ②RADIUS認証
> > ③多要素認証(二要素認証でも可)
> >
> > お答えいただけますと幸いです。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> > 録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには
> > openvpn-japan-user...@googlegroups.com <javascript:>
>
> On 2016/08/23 14:36, 大西麻未 wrote:
> > OpenVPNには、以下の機能はありますでしょうか。
> >
> > ①ユーザのID・パスワードの認証(LDAP認証)
> > ⇒OpenLDAPと連携して実現したい
> > ②RADIUS認証
> > ③多要素認証(二要素認証でも可)
> >
> > お答えいただけますと幸いです。
> >
> > --
> > このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> > 録しているユーザーに送られています。
> > このグループから退会し、グループからのメールの配信を停止するには
> > <mailto:openvpn-japan-user...@googlegroups.com <javascript:>> にメール
> > を送信してください。
> > その他のオプションについては https://groups.google.com/d/optout <https://groups.google.com/d/optout> にアクセ
> > スしてください。
>
> --
> ::: Taro Yamazaki [ ta...@plum-systems.co.jp <javascript:> ]
> : <Blog> http://yamatamemo.blogspot.jp/
> : <LinkedIn> http://www.linkedin.com/in/yamata <http://www.linkedin.com/in/yamata>
> -------------------------------------------------------------
> : Plum Systems Inc.
> : 2-3-11-2F, Kurihira, Asao-ku,
> : Kawasaki, Kanagawa
> : http://www.plum-systems.co.jp/
>
> : Plum Systems Inc.
> : 2-3-11-2F, Kurihira, Asao-ku,
> : Kawasaki, Kanagawa
> : http://www.plum-systems.co.jp/
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com <mailto:openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。
--
::: Your Security Solution Provider.
> その他のオプションについては https://groups.google.com/d/optout にアクセスしてください。
--
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
山崎 太郎 <YAMAZAKI Taro> ● ITSD部ディレクタ 兼 CIO
[e-Mail] ta...@plum-systems.co.jp
[LinkedIn] http://www.linkedin.com/in/yamata
プラムシステムズ株式会社
〒215-0031 神奈川県川崎市麻生区栗平2-3-11 ベルヴィル 2F
URL:http://www.plum-systems.co.jp/
TEL:044-980-1250 FAX:044-980-1251
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Reply all
Reply to author
Forward
0 new messages