Fujitsu Cloud Service for OSS(4OSS)上にOTP/ワンタイム・パスワード認証のWebサーバーを構築&運用する / はじめの一歩

富士通が運用するOpenStackのクラウド基盤 Fujitsu Cloud Service for OSS(4OSS) 上にWebアクセス時のワンタイムパスワード認証機能付きのWebサーバーを構築します。一般的なOpenStackでも、同様の構成でワンタイムパスワード機能付属のWebサーバーの運用が出来ます。

Fujitsu Cloud Service for OSS(4OSS)

  • Webサイトの構築&運用
  • Webアクセス時のワンタイムパスワード認証
  • リバースプロキシ(既存Webサービスとの連携)

に対応させることにします。

Webへのアクセス認証は、従来のID/パスワードに加え、ワンタイムパスワードの多要素認証 / Multi Factor Authenticationに対応させます。リモートワークやテレワーク時のスマフォやPCなどの端末からも、Webサイトへ安全にアクセスさせることが出来ます。

構築方針

  • CentOS / RedHat 7.x で運用する
  • Webへのアクセス認証は多要素認証に対応する
  • クライアント側も導入しやすい事(費用・汎用性)
  • 汎用的なソフトウエアトークンに対応している事(低価格)
  • システムの導入・運用&保守が簡単な事(ひとり情シス対応)
  • サーバーは自社管理でも運用出来ること
  • 既存Webへの認証連携のため、リバースプロキシにも対応している事

ワンタイムパスワードとしては、ハードウエア・トークンやソフトウエア・トークンなどの各種の方式があります。ハードウエアトークン(パスワード生成器)は、専用のハードの為に導入時に費用がかさみますがソフトウエア・トークンの場合には、OSSや無償のソフトなどもあり、導入時のコストを大幅に抑えることが出来ます。

ワンタイムパスワード認証を利用した各社のWebサービスとしては

  • Google
  • Amazon
  • Microsoft
  • Facebook
  • Dropbox
  • 仮想通貨のサイト
  • インターネットバンキング

などがあります。これらのサービスは、時間ベースのワンタイムパスワード方式(TOTP)を採用しています。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-19-2.png

RFC 6238で規定されたTOTP/時間ベースのワンタイムパスワードでは、サーバーとクライアントで共有する秘密鍵(共有鍵)と現在時刻から、認証コードを計算するアルゴリズムで一定時間毎(例 30秒毎)に、ワンタイムパスワードでの認証コードが変わります。パスワードが盗まれてもすぐに廃棄されるので安心です。秘密鍵はユーザー毎に異なります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-21.png

TOTPに対応した無償で利用出来る汎用的なクライアント・ソフト(ソフトウエアトークン)としては

Google Authenticator

  • iOS/androidに対応
  • バックアップ機能なし

Authy

  •  iOS/android 対応
  •  Windows/Mac/Linux 対応 (Chromeブラウザの拡張機能)
  •  Chrome OS 対応
  • バックアップ機能あり

iiJ SmartKey

  • iOS/android 対応(日本語対応)

WinAuth

  • Windows 対応

などです。他にもRFC 6238に準拠したTOTPに対応の有償のハードウエアトークンやソフトウエアトークンなどもあります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-02.png

 

使用するもの

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

 

サーバー側の機能の条件を満たすサーバーとして、CentOS /RedHatで動作する

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP 」を利用します。

このサーバーは、GUIからの操作で全ての設定/運用/保守が行なえるオールインワンのアプライアンス・サーバーです。ひとり情シス環境でも簡単に運用が出来ます。またSSLクライアント認証との併用も可能です。(多要素認証  /Multi Factor Authentication)

https://www.mubit.co.jp/sub/products/cloud/img2/poweredBlue-logo-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP 」のワンタイムパスワードの方式としては、Google、Amazon、Microsoft、Facebook、仮想通貨のサイトなどでも、一般的に使われているGoogle Authenticator(*1) やFreeOTPのトークン(パスワード生成器)のフォーマットに対応しています。

(注意 *1 Google などのアカウントやサービスを利用しているわけではありません)

ユーザー側では、無償で利用出来る Google Authenticator / Authy / iiJ SmartKey / WinAuth などのソフトウエアトークンで「Powered BLUE 870/OTP 」のワンタイムパスワード認証機能を利用することが出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-22.png

 

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Fujitsu Cloud Service for OSS(4OSS)にCentOS/RedHat対応のPowered Blueをセットアップする

に沿って、「Powered BLUE 870」サーバーの設定します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/k5-21.png

 

仮想サイトを作成

Webサイトを運用する仮想サイトを作成します

例 test-opt.mubit.com

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-site-1-1-624x328.png

Webページを作成

https://www.mubit.co.jp/sub/products/blue/img2/wordpress-logo-stacked-rgb.png

仮想サイトにWebページを作成。Webページは、手動でのWebページデータの設置の他に、フリープラグインのWordPressでのWebページの作成も出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE へのWordPressのインストール&設定を参照

https://www.mubit.co.jp/sub/products/blue/img2/lets-encrypt-logo.png

仮想サイトのWebページをLet’s Encrypt/自動更新対応で常時SSL化する場合には、

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUEの仮想サイトへLet’s Encryptを設定を参照

 

認証設定

仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する

  • 仮想サイト&ディレクトリを指定
  • 例 サイトのトップdir /  に 認証設定の場合
  • SSL接続強制の有無

などを指定します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-1-1-624x249.png


共有鍵の表示

  • ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
  • QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-5-3-2.png

利用端末の設定

ユーザーが利用する端末へのソフトウエアトークンのインストールは

を参照下さい

 

アクセス手順

1)ソフトウエアトークンでワンタイムパスワードの表示
2)Webサイトにアクセス ID / パスワード / ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

運用例

学習塾のWebページを運用

  • トップページは、全世界にアクセスを許可
  • 特定のディレクトリ以下は、学習塾の生徒にのみワンタイムパスワード認証でアクセスを制限
  • スマフォアプリ(ソフトウエアトークン)はApp Store/Google Play公式サイトから無償で入手
  • 小学1-2年の生徒さんでも、スマフォのアプリ(ソフトウエアトークン)のインストールが可能

 

企業のWebページを運用

  • トップページは、全世界にアクセスを許可
  • 特定のディレクトリ以下は代理店向けの製品サポートのため、ワンタイムパスワード認証でアクセスを制限

 

商品販売のWebページを運用

  • トップページは、全世界にアクセスを許可
  • 特定のディレクトリ以下は,プレミア品のため、会員のみにワンタイムパスワード認証でアクセスを制限

 

リバースプロキシ連携

「Powered BLUE 870/OTP 」はリバースプロキシも同居させての運用(オールインワン運用)にも対応しています。

ワンタイムパスワード認証後に、既存のWebサービスにリダイレクトさせることが出来ます。

既存の環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワーク環境をすぐに運用出来ます。

 

リバースプロキシでのリダイレクト

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/reverse-proxy-1.png

リバースプロキシによるワンタイムパスワード認証(OTP)と既存のWebサービスとの連携の例 /2段階認証

  • MosP勤怠管理
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog

デモサイト

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

Powered BLUE 870/OTP の運用先としては、富士通の Fujitsu Cloud Service for OSS  (4OSS) 以外にも

  • AWS
  • Azure
  • Enterprise Cloud / NTTコミュニケーションズ
  • スマートコネクトVPS / NTTスマートコネクト
  • WebARENA / NTTPC コミュニケーションズ
  • ALTUS(アルタス)/ GMOクラウド
  • VMware / Hyper-V
  • VPS

などでも運用が可能です。

 

多要素認証

ワンタイムパスワード認証に加えて、SSLクライアント認証の併用での多要素認証も可能です。医療機関など、高度なセキュリティを必要とするシーンで利用出来ます。

https://cloud-direct.jp.fujitsu.com/gallery/publisher_mubit/ca-rev-fig-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 プライベート CA

 

デモサーバー

Powered BLUEの  デモサーバー

 

4OSS  GUIからの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する

4OSS  リモートコンソールの利用設定

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSS上のサーバーへパスワードログインをする

4OSS  Ansibleでの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Ansibleで4OSSのNetWork構築やサーバー設定を行なう

4OSS  メモリスワップの追加

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSのLinuxサーバーにmemory swap を設定する

4OSS  Webサーバーを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870 の構築

4OSS  SSLクライアント認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE Private CA の構築

4OSS  ワンタイムパスワード認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870/OTPの構築

4OSS  Webをロードバランスする

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでWeb/https (443) をロードバランスする

4OSS  SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでクライアント認証後に既存Webへリバースプロキシ転送する

4OSS  ロードバランサ&SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する

4OSS 多要素認証&リバースプロキシ対応のWebを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 多要素認証&リバースプロキシ対応のWebサーバーを構築

 

富士通マーケットプレース

Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)

Fujitsu Cloud Service for OSSのマーケットプレイス