社内Webへのアクセスに際して、SSLクライアント認証とLDAP認証に対応のReverse Proxyを経由してリダイレクト先のWebへアクセスさせる構成例です。
SSLクライアント認証と組み合わせることにより、セキュリティのレベルを上げての運用ができます。また冗長構成での運用も出来ます。
【1】リバースプロキシ構成
【2】認証に対応のリバースプロキシ
各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Prox アプライアンス」 を利用します。GUIからすべての設定ができます。
【3】リバースプロキシでの認証設定
リバースプロキシ側でのSSLクライアント認証 設定
- Private-CA 機能により、SSLクライアント証明書を発行
- SSLクライアント証明書でのSSLクライアント認証
SSLクライアント認証のアクセスコントロール
- 時間帯や曜日によるアクセス制限
- 部門によるアクセス制限
例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可
【4】LDAPサーバー
LDAPサーバーとして
- 389 Directory Server
- OpenLDAP
- Active Directory
などと連携させます。
リバースプロキシ側の設定 LDAP認証
- LDAPサーバーへの接続先URLを指定
【5】リバースプロキシでのリダイレクト設定
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート ( http / https / ポート番号 )を指定に対応
・終端までSSL通信での運用に対応 ( End-to-EndでのSSL通信 )
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応
【6】アクセス
SSLクライアント認証+LDAP認証でのアクセス手順
- リバースプロキシへアクセス( SSLクライアント認証 )
- LDAP認証( ID / Password入力 )
- ターゲットWebへリダイレクト
【7】冗長構成
冗長構成での運用
複数の認証機能対応&自動同期のリバースプロキシで処理を行い高負荷にも対応
【8】ひとり情シス対応
- サーバーの自己監視
- サービスの自動再起動
- パッチのスケジュールアップデート
などの機能を装備。ひとり情シスでの運用に対応しています。
【9】ログの保存
- シスログの保存 ( 任意期間の保存 )
- シスログの転送 ( 同時に3カ所への送信 )
- シスログのトラップ
などに対応
任意キーワードでのトラップ & アラートメールの送信先の指定 例
【10】運用先
仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます
- 仮想環境 ( VMware / Hyper-V / Nutanix )
- クラウド環境( AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS 他)
デモ
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。