Active DirectoryのLDAP認証やSSLクライアント認証に対応のリバースプロキシを富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築&運用します。全通信経路でSSL通信を行う運用が出来ます。
◉ AD認証に対応のリバースプロキシ
Active Directroy認証に対応の 「Powered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。
機能
- リバースプロキシ機能
- リバースプロキシのAD認証
- リバースプロキシのSSLクライアント認証
- リバースプロキシのHA対応
- ポータルサイト機能
GUIからすべての設定ができます。
運用構成
- LAN側に設置のWebへのアクセス
- 全通信経路でSSL通信を行うことが可能(リバースプロキシ&LDAP)
運用先
FUJITSU Hybrid IT Service FJcloud-Oの特徴は
- OpenStack準拠
- 単一ゾーンでのSLA 99.99%
- アンチ・アフィニティをサポート
- 回線費用は無償(ベストエフォート)
- オブジェクトストレージからのダウンロード費用は無償(ベストエフォート)
- Firewallは無償
- Ansible対応
- OpenStackの標準GUI Horizon対応
などです。
OpenStack準拠
FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。
jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。
また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。
「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。
- サーバー名指定
- サーバータイプ選択
- パブリックイメージ選択 例 CentOS 7.9
- HDD サイズ指定 例 30GB
Fujitsu Cloud Service for OSS(4OSS)上にCentOS7のインスタンス構築設定 例
ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。
セットアップウイザード開始
http://xxx.yyy.zzz.xyz:444/
クラウド基盤のインスタンスのデフォルトの言語で表示されます(例 英語)
基本設定
- サーバー名(Host名 Domain名を指定)
- DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています)
- 管理者のパスワード
- 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 )
- タイムゾーン
などを設定
プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します
DNSなどは適宜変更可能です。
GUI表示を英語版から日本語へ切り替えます
ウイザードの終了後に、サーバーへ再ログインします
Powere BLUE へログインをします
admin のパスワードは、セットアップウイザードで指定したパスワードを入力します
◉ LDAPサーバー
LDAPサーバーとして
- 389 Directory Server
- OpenLDAP
- Active Directory
などと連携させます。
リバースプロキシ側の設定 LDAP認証
- LDAPサーバーへの接続先URLを指定( ldaps / SSL通信 )
◉SSLクライアント認証設定
リバースプロキシ側でのSSLクライアント認証 設定
- Private-CA 機能により、SSLクライアント証明書を発行
- SSLクライアント証明書でのSSLクライアント認証
SSLクライアント認証のアクセスコントロール
- 時間帯や曜日によるアクセス制限
- 部門によるアクセス制限
例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可
◉リバースプロキシでのリダイレクト設定
リバースプロキシ設定 リダイレクト先の指定
・複数のリバース先/バックエンドの設定に対応
・リバース先のポート ( http / https / ポート番号 )を指定に対応
・終端までSSL通信での運用に対応 ( End-to-EndでのSSL通信 )
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応
◉アクセス
SSLクライアント認証+LDAP認証でのアクセス手順
- リバースプロキシへアクセス( SSLクライアント認証 )
- LDAP認証( ID / Password入力 )
- ターゲットWebへリダイレクト
◉冗長構成
冗長構成での運用
FJCloud-O 標準で提供のロードバランサーに対応。複数の認証機能対応&自動同期のリバースプロキシで処理を行い冗長構成での運用が可能です。
デモサイト