二要素認証を使用しないシステムの二要素認証
TOTPRadiusについては引き続き話し合います。今回は比較的新しい機能、つまりLDAP統合に焦点を当てています。
すぐに使える2要素認証をサポートするシステムは多数あります。 ほとんどの場合、これは、LDAPまたはRadiusプロトコルを介して2番目の認証ソースに接続する機能によって実現されます。 このようなシステムの例はCitrix Netscalerで、LDAPを介してプライマリソースに接続し、Radiusを介して2番目(またはLDAPを介して両方)にソースを接続できます。 TOTPRadiusは、このような製品と非常によく統合され、2番目の要素の自己登録のためのAPIも提供します。
ただし、残念ながら、複数の認証元をサポートしない製品があります。 お客様のいずれかが使用している製品の例を次に示します。 クライアントから機能リクエストが送信されましたが、実装に成功しました。多くの製品が存在し、この機能は非常に人気があるとわかったためです。
これは、Cisco VPN Meraki MXシリーズクライアントVPNです。 ドキュメントによると、Meraki Client VPNは認証ソースとしてLDAPとRadiusの両方をサポートしていますが、同時にはサポートしていません。 どちらか一方を構成できます。 2要素認証の場合、サードパーティのソリューションを使用することをお勧めします。そのようなソリューションの1つは、 TOTPRadiusバージョン0.2.2です。
どのように機能しますか?
考え方は非常に簡単です。RADIUSは認証プロトコルとして使用され、ユーザーを入力するために、Active Directoryパスワードと6桁のワンタイムパスワード(OTP)で構成されるユーザー名とパスワードを入力します。 TOTPRadiusはパスワードを2つの部分に分割し、まずワンタイムパスワードをチェックし、正しい場合は、ユーザー名とパスワード(OTPなし)を使用してADサーバーへの接続を試みます。 順序はまさにこれです-Active Directoryでアカウントをブロックする(ロックアウト)リスクを最小限にするために行われました。
自己登録
TOTPRadiusは、RADIUSプロトコルがサポートされている場所であればどこでも使用できます。 ただし、残念ながら、どこでも自己登録はできません。 現時点では、 Citrix Netscalerとの統合パッケージがあり、このプロセスは平均的なユーザーの観点から可能な限り友好的です。 Meraki Client VPNの場合、 CMAKを使用した、エレガントではありませんが、それでもかなり実行可能な方法を提供します。 原則はこれです。初めてVPNに接続すると、Webページが起動し、ユーザーは(ADパスワードを使用して)ログインし、自分で2番目の要素を登録できます(たとえば、 Google Authenticator 、Token2 Mobile OTPまたはその他の TOTP対応アプリケーションを使用)。 これを行うには、ユーザーは2番目の要素なしで最初のn回接続できるようにする必要があります(これは[全般設定]セクションで構成されます)。
Cisco Meraki CVPNは、TOTPRadiusが2要素認証の実装を支援できる唯一の製品ではなく、例としてのみ示しました。