Mattermostは、Slackと同等の機能を持つチャットアプリケーションです。製品には有償版「Enterprise Edition」とオープンソースの「Team Edition」無償版の2つがあります。有償版と無償版の相違は機能や認証方式などです。SAML認証などは、上位の有償版のみでの提供です。
Slackを選択できないケース
社内規定やセキュリティ関連のために社内情報をSaaS側にデータを置けない場合などでは、オンプレの自社管理で運用&データは社内側に保存できるMattermostは有効な選択枝となります。
| 製品 | Slack | Teams | Mattermost |
| 運用先 | SaaS | SaaS | SaaS もしくは オンプレ |
Mattermostの運用先
Mattermost はLinuxサーバー上での運用が可能でオンプレ環境での運用に対応しており、LANやWANなどに設置して運用します。AWSやVPS、VMware/Hyper-Vなどのクラウドや仮想環境での運用も出来ます。
SSLクライアント認証でMattermostへアクセス
無償版のTeam Edition」でセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。方法としては
- Mattermostの運用サーバーにSSLクライアント認証を併用させる
- SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる
2つの方法があります。
今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。
Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。
Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。
Websocket対応のリバースプロキシ
Mattermostは、リアルタイムでのチャットにWebSocketを利用しています。
- WebSocketに対応のリバースプロキシ
- リバースプロキシのSSLクライアント認証
- ユーザーのアクセスポートは ( https / 443 )
- Private-CAによるSSLクライアント証明書発行
- Let’s EncryptによるSSLサーバー証明書発行&自動更新
機能を有しているアプライアンスとして、 Powered BLUE Private-CA / Reverse-Proxy モデルを利用します。すべての機能を1台で運用することが出来ます。
Mattermost ポート
Mattermostのデフォルトのアクセスポートは8065です。ユーザーによっては会社のFirewallのポリシーで、外部のMattermostのサイトのport 8065へのアクセスが許可されていない場合があります。
X http://xxx.yyy.zzz:8065/
SSLクライアント認証対応リバースプロキシでのアクセスの場合には、エンドユーザーはhttps ポート 443でのアクセスとなるため支障はありません。
O https://xxx.yyy.zzz/
ブラウザへ警告メッセージは出ない
SSLクラアイント認証の組合せとして
- リバースプロキシには、Let’s EncryptなどのPublicなSSLサーバー証明書
- クライアント側には、Private CAで発行のSSLクライアント証明書
で動作させます。
この構成でのSSLクライアント認証を行う場合、公的機関で発行のSSLサーバー証明書を利用しているために、ブラウザには警告メッセージは表示されません。
プライベートなSSLサーバー証明書を利用するとブラウザに警告のメッセージがでます。
Mattermostサーバー側の設定変更は不要です。ユーザーのアクセス先をリバースプロキシ経由でのアクセスに切り替えるだけです。
SSLクライアント認証の他に、SAML認証でのアクセスも可能です。
SELinuxについて
セキュリティの観点から、認証対応のリバースプロキシは「SELinuxを有効」にして運用します
アクセス手順
https://xxx.yyy.zzz/
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます