AD/LDAP認証とSSLクライアント認証の対応のリバースプロキシをFUJITSU Hybrid IT Service FJcloud-OのHAで運用

Active DirectoryのLDAP認証やSSLクライアント認証に対応のリバースプロキシを富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築&運用します。全通信経路でSSL通信を行う運用が出来ます。

 

◉ AD認証に対応のリバースプロキシ

Active Directroy認証に対応の https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

機能

  • リバースプロキシ機能
  • リバースプロキシのAD認証
  • リバースプロキシのSSLクライアント認証
  • リバースプロキシのHA対応
  • ポータルサイト機能

GUIからすべての設定ができます。

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

運用構成

  • LAN側に設置のWebへのアクセス
  • 全通信経路でSSL通信を行うことが可能(リバースプロキシ&LDAP)

 

運用先

FUJITSU Hybrid IT Service FJcloud-Oの特徴は

  • OpenStack準拠
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 回線費用は無償(ベストエフォート)
  • オブジェクトストレージからのダウンロード費用は無償(ベストエフォート)
  • Firewallは無償
  • Ansible対応
  • OpenStackの標準GUI Horizon対応

などです。

OpenStack準拠

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

 

「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

  • サーバー名指定
  • サーバータイプ選択
  • パブリックイメージ選択 例 CentOS 7.9
  • HDD サイズ指定 例 30GB

Fujitsu Cloud Service for OSS(4OSS)上にCentOS7のインスタンス構築設定 例

 

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

セットアップウイザード開始

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示されます(例 英語)

 

基本設定

  • サーバー名(Host名 Domain名を指定)
  • DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています)
  • 管理者のパスワード
  • 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 )
  • タイムゾーン

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

 

Powere BLUE へログインをします

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

LDAPサーバー

LDAPサーバーとして

  • 389 Directory Server
  • OpenLDAP
  • Active Directory

などと連携させます。

 

リバースプロキシ側の設定 LDAP認証

  • LDAPサーバーへの接続先URLを指定( ldaps / SSL通信

 

 

SSLクライアント認証設定

リバースプロキシ側でのSSLクライアント認証 設定

  • Private-CA 機能により、SSLクライアント証明書を発行
  • SSLクライアント証明書でのSSLクライアント認証

 

SSLクライアント認証のアクセスコントロール

  • 時間帯や曜日によるアクセス制限
  • 部門によるアクセス制限

例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

 

リバースプロキシでのリダイレクト設定

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート ( http / https / ポート番号 )を指定に対応
・終端までSSL通信での運用に対応  ( End-to-EndでのSSL通信 )
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

 

 

アクセス

SSLクライアント認証+LDAP認証でのアクセス手順

  • リバースプロキシへアクセス( SSLクライアント認証 )
  • LDAP認証( ID / Password入力 )
  • ターゲットWebへリダイレクト

 

 

 

冗長構成

冗長構成での運用
FJCloud-O 標準で提供のロードバランサーに対応。複数の認証機能対応&自動同期のリバースプロキシで処理を行い冗長構成での運用が可能です。

 

 

 

デモサイト

Powered BLUE 870 のデモサイト