富士通が運用するOpenStackのクラウド基盤 Fujitsu Cloud Service for OSS(4OSS) 上にWebアクセス時の多要素認証サーバーを構築します。
一般的なOpenStackでも、同様の構成でSSLクライアント認証&ワンタイムパスワード認証およびリバースプロキシ機能付きのWebサーバーの構築&運用が出来ます。
Webアクセス時の多要素認証
働き方改革によりテレワークやリモートワークで社内のWebサーバーにアクセスする際に、利用者が多要素認証やセキュリティを確保した上でブラウザから簡単にアクセスが出来るWeb サーバーです。
ブラウザでのリモートアクセス
Webサイトへのアクセス時の認証としては、多要素認証(SSLクライアント認証やワンタイムパスワード認証 / Multi Factor Authentication )を併用出来ます。PCやスマフォ、モバイル端末とブラウザのみで利用が可能です。VPNや閉域網などは使用しません。
また既存のWebサイトへのアクセスについては、多要素認証後にリバースプロキシ機能により既存のWebサーバーへリダイレクトさせます。既存のWebサイト側は変更することなく多要素認証機能の導入が可能です。ID/パスワードとSSLクライアント認証もしくはワンタイムパスワード認証などの2要素認証での運用も出来ます。
パスワードの流出時も安心
いつも使っている使いまわしのパスワードが流出した場合でも安心です。ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。またSSLクライアント認証ではSSLクライアント証明書のないユーザーはアクセスが出来ません。いつも使っている「使いまわしのパスワード」と「ワンタイムパスワード認証」や「SSLクライアント認証」などにより、出先から安全にアクセスさせることが出来ます。
利用する機器
多要素認証(SSLクライアント認証やワンタイムパスワード認証)を持つWebサーバーを簡単に構築&運用が出来る機能とリバースプロキシ機能までを備えたオールインワンのWebアプライアンス 「Powered BLUE Web Station」 を利用します。
このアプライアンスサーバーは、自社独自の多要素認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。
Webサイトに多要素認証を設定したり、特定のディレクトリ以下に多要素認証を設定するなどの多彩な形態で運用ができます。
またリバースプロキシ機能も有しており、既存のWebサイトへのアクセス連携にも対応しています。
Powered BLUE Web Stationの機能
機能 | 有無 |
Web サーバー機能 | 〇 |
SSLクライアント認証 | 〇 |
ワンタイムパスワード認証 | 〇 |
リバースプロキシ | 〇 |
インターネットサーバー機能 / Mail / DNS / ftp | 〇 |
Let’s Encrypt & 自動更新 | 〇 |
WordPress (CMS) | 〇 |
Roundcube (WebMail) | 〇 |
ownCloud (オンラインストレージ) | 〇 |
php 7.x 対応 | 〇 |
サードパーティソフト 対応 | 〇 |
CentOS / RedHat 7.x 対応 | 〇 |
使用するもの
Powered BLUE Web Stationでの運用例
ウェブステーション上に仮想Webサイトを1サイト作成して、サイト内に
●WordPress を設定 (Web)
●WebサイトにLet’s Encryptを設定 (SSLのサーバー証明書 / 自動更新対応)
●ownCloud を設定 (オンラインストレージ)
●Roundcube を設定(Web Mail)
●グループウエアを設定 ( サイボウズ / デスクネッツ)
●WebサイトにSSLクライアント認証を設定
●Webサイトにワンタイムパスワード(OTP)認証を設定
●WebサイトにSSLクライアント認証&ワンタイムパスワード認証を設定(多要素認証)
●リバースプロキシを設定
●DNSを設定
●メール送受信を設定
などを1台で運用することが出来ます。
Powered BLUEの構築&設定
Fujitsu Cloud Service for OSS(4OSS)にCentOS/RedHat対応のPowered Blueをセットアップする
に沿って、「Powered BLUE 870」サーバーの設定します。
仮想サイトを作成
Webサイトを運用する仮想サイトを作成します
例 test-opt.mubit.com
ワンタイムパスワードの認証設定
仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する
- 仮想サイト&ディレクトリを指定
- 例 サイトのトップdir / に 認証設定の場合
- SSL接続強制の有無
などを指定します
共有鍵の表示
- ユーザーアカウントの作成
- OTP認証設定を有効にします
- ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
- QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)
ソフトウエア・トークン
ユーザー側で利用するワンタイムパスワードを生成するトークンは、無償のソフトウエアトークンなどが利用できます
●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey
利用端末の設定
ユーザーが利用する端末へのソフトウエアトークンのインストールは
を参照下さい
OTP認証機能
- ワンタイムパスワード認証対応のWeb サイトを構築&運用
- ワンタイムパスワード認証のユーザー管理機能
認証のステップ
1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示
プライベートCAの構築
プライベートCAを運用する仮想サイトを設定します。同一の仮想サイトに対して、SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)の設定での運用も出来ます。
CA証明書の作成
- CA証明書の有効期限を設定
- CAのパスワードを設定
以上でCAの構築は終了
SSLクライアント証明書の発行
プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。
SSLクライアント証明書を個別発行の場合(1枚発行の場合)
例 suzuki@mubit.com ユーザーのクライアント証明書を作成
有効期限などを指定して発行します
有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。
SSLクライアント証明書をダウンロードします
ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。
SSLクライアント証明書のブラウザへのインストール(IEの場合)
ツール - インターネットオプション - コンテンツ - 証明書 を選択
個人のタグを選択
個人の証明書ストアへインポートします
SSLクライアント認証の設定
Private CAとWebサーバーを同一の仮想サイトで運用の場合
- 例 ca-test.mubit.jp で運用の場合
SSLサーバー証明書の登録
- Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
- 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または Let’s Encrypt対応 で作成します。
自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)
- 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
- 自己署名によるSSLのサーバー証明書が登録されます。
署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)
公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ
「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」
を抑制することが出来ます
SSLのサーバー証明書は
- ドメイン認証証明書(DV:Domain Validation)
- 組織認証証明書(OV:Organization Validation)
- EV証明書(EV:Extended Validation)
が登録出来ます
- 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します
SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
- Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
- SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)
SSLクライアント認証を有効
https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にします
SSLクライアント認証の構成
- SSLクライアント認証対応のWebサイトを構築&運用
- SSLクライアント証明書の発行・失効やSSLクライアント認証の機能
SSLクライアント 認証例
Web Page https://ca-test.mubit.jp へのアクセス
SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
SSLクライアント 認証&ワンタイムパスワード認証の併用例
ワンタイムパスワードを表示させる
Web Page https://test-otp.mubit.com へのアクセス
SSLクライアント認証が有効の場合 / ワンタイムパスワード認証 ページへアクセスが出来ます
ワンタイムパスワードの認証後にターゲットのWebページが表示されます
SSL VPN & SSLクライアント認証
SSL VPN機器と連携して、ブラウザからSSLクライアント認証を利用してセキュアにアクセスさせることが出来ます。
運用例
- SSL-VPNへアクセス時のSSLクライアント端末認証
- SSL-VPN経由で社内の RDP Sever へアクセス
- SSL-VPN経由で社内の Web Server へアクセス
- SSL-VPN経由で社内の File Server へアクセス
多要素認証 & Reverse Proxy
1)多要素認証 (SSLクライアント認証やワンタイムパスワード認証 )
2)認証後にリバースプロキシでリダイレクト
3)ターゲットのWebが表示
リバースプロキシの設定例
既存Webサイトの認証強化
Powered BLUE Web Stationは、仮想サイト上でのリバースプロキシの同時運用にも対応しており、認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。
多要素認証&リバースプロキシ連携 例
- MosP勤怠管理 / MosP人事管理 / MosP給与計算
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
- 社内Web
- 他
MosP勤怠管理への認証例
サイボウへの認証例
デスクネッツへの認証例
Active! Mailへの認証例
Roundcubeへの認証例
NTTデータイントラマートへの認証例
X-pointへの認証例
楽々ワークフローIIへの認証例
eValue NSへの認証例
FileBlogへの認証例
Aipoへの認証例
Power eggへの認証例
デモサイト
Fujitsu Cloud Service for OSS (4OSS) の設定&構築
4OSS GUIからの操作
超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する
4OSS リモートコンソールの利用設定
4OSS Ansibleでの操作
Ansibleで4OSSのNetWork構築やサーバー設定を行なう
4OSS メモリスワップの追加
4OSSのLinuxサーバーにmemory swap を設定する
4OSS Webサーバーを構築
4OSS SSLクライアント認証Webを構築
4OSS ワンタイムパスワード認証Webを構築
4OSS Webをロードバランスする
4OSSでWeb/https (443) をロードバランスする
4OSS SSLクライアント認証&リバースプロキシ
4OSSでクライアント認証後に既存Webへリバースプロキシ転送する
4OSS ロードバランサ&SSLクライアント認証&リバースプロキシ
4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する
4OSS 多要素認証&リバースプロキシ対応のWebを構築
富士通マーケットプレース
Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)
Fujitsu Cloud Service for OSSのマーケットプレイス