管理者ログイン-2要素認証（パスワード認証＋ワンタイムパスワード認証）

文書更新日:2025-04-09

目的

• SingleIDのユーザで、YAMAHA RTXへ管理者権限でログインします。
• 接続する際の認証方式は、2要素認証（パスワード認証＋ワンタイムパスワード認証）です。
• SingleIDの拡張RADIUSサーバを利用します。
• ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDの拡張RADIUSサーバの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞基本設定タブへ移動します。

2. 拡張RADIUSサーバ＞RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。

   設定項目	設定内容
   使用するプロトコル	UDPを選択します。
   シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

3. 登録ボタンをクリックします。専用のRADIUSポート番号が割り当てれます。

YAMAHA RTXのRADIUSサーバの設定

1. SSHまたはTelnetで、ローカル管理者でYAMAHA RTXのCLIにログインします。

2. コマンドで以下を設定します。

   設定項目	設定内容
   RADIUSサーバのプライマリIPアドレス	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞IPアドレスのプライマリです。
   RADIUSサーバのセカンダリIPアドレス	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞IPアドレスのセカンダリです。
   RADIUSサーバのポート番号	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞RADIUSポート番号のポート番号です。
   RADIUSクライアントのシークレット	SingleIDの拡張RADIUSサーバの登録の手順のシークレットに設定した文字列です。

   login radius use on
   radius auth on
   radius auth server <RADIUSサーバのプライマリIPアドレス> <RADIUSサーバのセカンダリIPアドレス>
   radius auth port <RADIUSサーバのポート番号>
   radius secret <RADIUSクライアントのシークレット>
   

   Info

   YAMAHA RTXについては、RADIUSを使用したログインユーザーの管理を参考にさせていただきました。

サイト識別する属性の確認方法

YAMAHA RTXが送信するNAS-IP-Address属性およびNAS-Identifier属性の属性値を確認します。

1. 動作確認方法に従って、認証を試みます。
2. 認証が失敗します。
3. SingleID 管理者ポータル＞ログ＞RADIUS認証ログ画面へ移動します。
4. 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。

SingleIDのRADIUSサイトの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからYAMAHA RTXシリーズの登録ボタンをクリックします。YAMAHA RTXシリーズ画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効を選択します。
   サーバ	拡張を選択します。
   サーバ番号	SingleIDの拡張RADIUSサーバの登録の手順で登録したサーバ番号を選択します。
   サイト識別する属性	サイト識別する属性の確認方法の手順で確認できた属性を選択します。
   属性値	サイト識別する属性の確認方法で確認できた属性の属性値を設定します。 サイト識別する属性にNAS-IDを選択した場合、実際にネットワーク機器から送信される属性値に対して、ここの設定項目で設定した文字列で部分一致検索します。

   Danger

   • サイト識別する属性にNAS-IP-Addressを設定したときには、属性値に、グローバルIPアドレスを設定しないでください。
   • サイト識別する属性の確認方法の手順で、NAS-IP-AddressとNAS-Identifierのどちらの属性も確認できた場合には、どちらかの設定のみ行ってください。どちらかの設定を行うときには、NAS-Identifier属性の設定を行うことをお勧めします。NAS-IP-Address属性は、機器の設定によっては動的に変わってしまう場合があります。

5. 管理アクセスの認証タブへ移動します。

6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

   Info

   • 2要素認証（OTP）のみ許可を有効にすると、2要素認証（OTP）以外の認証方式のアクセスを拒否します。

   • 必要に応じて権限を設定します。YAMAHA RTXの管理者ガイドをご確認ください。

     • 管理権限
     • 一般権限

7. 登録ボタンをクリックします。

動作確認方法

2要素認証（パスワード認証＋ワンタイムパスワード認証）による管理者ログインの認証が可能なことを確認します。

ソフトウェアトークンのインストール

ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。

• FreeOTP
• Google Authenticator

SingleIDへソフトウェアトークンの登録

Warning

SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。

1. [SingleIDのユーザの作成]の手順で作成したユーザで、SingleIDのユーザポータルへログインします。
2. SingleID ユーザポータル＞オーセンティケーター画面へ移動します。

3. QRコードが表示されていることを確認します。

   

4. スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。（ここでは、Google Authenticatorを利用します。）

5. ＋をクリックし、新規アカウントを追加します。

   

6. QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。

   

7. アカウントを追加をクリックし、アカウントを追加します。

   

8. 表示されている数字をSingleID ユーザポータル＞オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。

   

   Info

   ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。

YAMAHA RTX GUIへログイン

1. YAMAHA RTX GUI へアクセスします。

2. 以下の情報でログインを試み、ログインが成功することを確認します。

   設定項目	設定内容
   ユーザ名	SingleIDのRADIUSサイトの登録の手順で許可したユーザ
   パスワード	ユーザのパスワードとソフトウェアトークンに表示されたワンタイムパスワードを:（コロン）でつなげた文字列を入力します。（例：password:123456）