この例のOTP実装は、当社の製品に基づいています。 これは、認証サーバー-JaCarta Authentication Server(JAS)です。 オーセンティケーター(OTP生成ツール)は次のいずれかです。
- ソフトウェアトークン(iOS、Android、Windowsを実行するスマートフォン用のGoogle認証システム);
- USBポートを備えた物理トークン(JaCarta WebPass、Yubikeyなど);
- USBポートなしの物理トークン(eToken Passなど)。
次のOTP生成アルゴリズムがサポートされています。
- RFC 4226 + HMAC-SHA-1(6文字);
- RFC 4226 + HMAC-SHA-256(6文字);
- RFC 4226 + HMAC-SHA-256(7文字);
- RFC 4226 + HMAC-SHA-256(8文字)。
SMSゲートウェイを接続して、SMSメッセージの形式でワンタイムパスワードを受信することもできます。
前回と同様に、VMware Horizon Viewのフレームワーク内のVDIは、単純なパスワード認証用にすでに展開および構成されていると想定されています。 JASサーバーとそのためのNTPプラグインは既にインストールされ、構成されています。 また、ユーザーには、ソフトウェアまたはハードウェアトークンが設定されます。 JASのインストールと設定については、パッケージに含まれている大きな退屈なドキュメントがあります。
次に、既存のJASサーバーをVMware Horizon Viewサーバーに接続し、OTP認証を実装することがいかに簡単でシンプルかを示します。
チューニングの進行状況
JASおよびNPSプラグインがインストールされているサーバーで 、 ネットワークポリシーサーバースナップインに移動し、新しいRADIUSクライアントを追加します。
フレンドリ名、 Horizon View Connection ServerのIPアドレス 、および共有シークレットを設定します。
VMware Viewサーバーに移動し、View Connection Server管理コンソールを開きます。
[構成の表示]-> [サーバー]-> [接続サーバー]に移動します 。
必要な認証サーバーを選択して、 「編集」ボタンをクリックします。
開いたウィンドウで、[ 認証 ]タブに移動します。 [ 詳細認証2要素認証]セクションで、ドロップダウンメニューから[ RADIUS ]を選択します。
Enforce 2-factor and Windows user name matchingのチェックボックスをオフにし、 RADIUS認証とWindows認証に同じユーザー名とパスワードを使用します 。
[ 認証システムの管理 ]ボタンをクリックします。 新しいウィンドウで、[ 追加... ]ボタンをクリックします
ラベル -クライアントに表示されるサーバー名、 ホスト名/アドレス -OTPプラグインを使用するNPSサーバーのアドレス、 共有秘密フィールドに入力します。 認証タイプ -PAP。
これでセットアップが完了しました。確認する必要があります。
ラップトップからパフォーマンスを確認する
VmWare Horizon Clientを起動し(Windows、Linux、およびMacOSの場合があります)、サーバーに接続します。
サーバーに接続すると、ログインダイアログが表示され、ユーザー名とOTP ( パスコードフィールド)の入力要求が表示されます。
Google認証システムを開いてOTP値を取得します。
OTP認証に成功すると、ユーザー名とパスワードによってログイン要求が行われます。
OTP->パスワード要求はこの順序で発生し、その逆は発生しません。 これは、推測からパスワードを保護するために行われます。
モバイルデバイスからの機能チェック
携帯電話からは、すべてが同じように見えます。 以下はiOSの例です(Androidもサポートされています)。
まず、Horizonアプリケーションを起動し、サーバーに接続します。
サーバーはOTPを要求します。
Google認証システムに切り替えて、OTP値を覚えておいてください。
Horizonに切り替えてOTPを入力します。
次に、パスワードを入力します。
デスクトップまたはアプリケーションを選択します。
それだけです