SSLクライアント認証」カテゴリーアーカイブ

WebSocketのMattermost へSSLクライアント認証対応のリバースプロキシ経由でアクセス/オンプレ対応チャット

Mattermostは、Slackと同等の機能を持つチャットアプリケーションです。製品には有償版「Enterprise Edition」とオープンソースの「Team Edition」無償版の2つがあります。有償版と無償版の相違は機能や認証方式などです。SAML認証などは、上位の有償版のみでの提供です。

 

Slackを選択できないケース

社内規定やセキュリティ関連のために社内情報をSaaS側にデータを置けない場合などでは、オンプレの自社管理で運用&データは社内側に保存できるMattermostは有効な選択枝となります。

製品 Slack Teams Mattermost
運用先 SaaS SaaS SaaS
もしくは
オンプレ

 

Mattermostの運用先

Mattermost はLinuxサーバー上での運用が可能でオンプレ環境での運用に対応しており、LANやWANなどに設置して運用します。AWSやVPS、VMware/Hyper-Vなどのクラウドや仮想環境での運用も出来ます。

 

 

SSLクライアント認証でMattermostへアクセス

無償版のTeam Edition」でセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。方法としては

  • Mattermostの運用サーバーにSSLクライアント認証を併用させる
  • SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる

2つの方法があります。

 

今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。

Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。

 

Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。

https://www.mubit.co.jp/img3/rev-proxy-loop-endlress-1.gif

 

Websocket対応のリバースプロキシ

Mattermostは、リアルタイムでのチャットにWebSocketを利用しています。

  • WebSocketに対応のリバースプロキシ
  • リバースプロキシのSSLクライアント認証
  • ユーザーのアクセスポートは ( https / 443 )
  • Private-CAによるSSLクライアント証明書発行
  • Let’s EncryptによるSSLサーバー証明書発行&自動更新

機能を有しているアプライアンスとして、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Private-CA / Reverse-Proxy モデルを利用します。すべての機能を1台で運用することが出来ます。

 

https://www.mubit.co.jp/img3/pb-vm-3.png

 

Mattermost ポート

Mattermostのデフォルトのアクセスポートは8065です。ユーザーによっては会社のFirewallのポリシーで、外部のMattermostのサイトのport 8065へのアクセスが許可されていない場合があります。

X http://xxx.yyy.zzz:8065/

 

SSLクライアント認証対応リバースプロキシでのアクセスの場合には、エンドユーザーはhttps ポート 443でのアクセスとなるため支障はありません。

O https://xxx.yyy.zzz/

 

 

ブラウザへ警告メッセージは出ない

SSLクラアイント認証の組合せとして

  • リバースプロキシには、Let’s EncryptなどのPublicなSSLサーバー証明書
  • クライアント側には、Private CAで発行のSSLクライアント証明書

で動作させます。

この構成でのSSLクライアント認証を行う場合、公的機関で発行のSSLサーバー証明書を利用しているために、ブラウザには警告メッセージは表示されません。

 

プライベートなSSLサーバー証明書を利用するとブラウザに警告のメッセージがでます。

 

Mattermostサーバー側の設定変更は不要です。ユーザーのアクセス先をリバースプロキシ経由でのアクセスに切り替えるだけです。

SSLクライアント認証の他に、SAML認証でのアクセスも可能です。

 

 

SELinuxについて

セキュリティの観点から、認証対応のリバースプロキシは「SELinuxを有効」にして運用します

 

 

アクセス手順

https://xxx.yyy.zzz/

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト