この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは、あべいかです。 こちらの記事にあるように、「Sophos UTM」では、Windowsクライアントでユーザ名とパスワードを使ったSSL-VPN接続を行う事が出来ます。 今回は、ユーザのパスワードと「Google Authenticator」が生成するワンタイムパスワードを使った2要素認証をご紹介します。
前提条件
【AWS】統合脅威管理「Sophos UTM」を使ってVPCへSSL-VPN接続する(Windows7編) 上記ページの設定が完了し、ユーザ名/パスワードでSSL-VPN接続出来ることが前提となります。
設定手順
OTP(ワンタイムパスワード)の有効化
管理者ユーザでWebコンソールに接続します。 [マネジメント]-[定義とユーザ]-[認証サービス]を選択します。 トグルスイッチがオフ=OTPは無効である事がわかります。OTPを有効化する前に、デフォルトの設定を確認してみましょう。
認証設定のデフォルト値を確認します。 [ユーザ用にOTPトークンを自動生成]にチェックが入っている場合、ユーザが次回ポータルにログインした時に、Google AuthenticatorなどのOTPソフトウェアを設定するためのQRコードが表示されます。 SSL-VPNに使用する「ユーザポータル」と「SSL VPN リモートアクセス」にチェックが入っています。 デフォルト設定のままで問題ないようです。
タイムステップ設定のデフォルト値を確認します。 更新間隔をトークンデバイスと合わせるように促すメッセージが表示されています。 Google Authenticatorは、30秒間隔で異なるパスワードを表示します。こちらもデフォルト設定で問題ないようです。
トグルスイッチをONにし、OTPを有効にします。
Google Authenticatorのセットアップ
SSL-VPN接続を行う一般ユーザでポータルにログインすると、QRコードが表示されます。 Google AuthenticatorでQRコードを読み込みます。
[ログインを続行する]を選択すると、ポータルのログイン画面に戻ります。 ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力します。 ポータルにログインする事が出来れば、成功です。
SSL-VPN接続
SSL-VPN接続を行うには、クライアントソフトが必要です。 まだ設定を行っていない場合、こちらの記事の「Windows7からの接続」をご確認ください。
クライアントのVPN接続画面を開きます。 ユーザのパスワードに続いて、Google Authenticatorに表示されるパスワードを入力すると、SSL-VPN接続が開始されます。
参考資料
検証環境
以下の環境で動作を確認しました。
- クライアント:Windows8
- Sophos UTM:9.352-6
さいごに
Sophos-UTMでは、パスワードとOTPの2要素認証が可能である事がわかりました。 OTPを有効することで、より安全な運用が出来ると思います。
4
