管理者ログイン-2要素認証(パスワード認証+ワンタイムパスワード認証)
目的
- SingleIDのユーザで、YAMAHA RTXへ管理者権限でログインします。
- 接続する際の認証方式は、2要素認証(パスワード認証+ワンタイムパスワード認証)です。
- SingleIDの拡張RADIUSサーバを利用します。
- ユーザ/グループによるアクセス制限をします。
設定方法
SingleIDのグループの作成
- SingleID 管理者ポータル>グループ画面へ移動します。
- グループ追加をクリックします。グループ追加画面がポップアップします。
- グループ名を入力し、登録ボタンをクリックします。
SingleIDのユーザの作成
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
- ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
- メンバーとなるグループを選択し、登録ボタンをクリックします。
SingleIDの拡張RADIUSサーバの登録
- SingleID 管理者ポータル>認証>RADIUS>基本設定画面へ移動します。
-
拡張RADIUSサーバ>RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。
設定項目 設定内容 使用するプロトコル UDP シークレット 任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。 -
登録ボタンをクリックします。
YAMAHA RTXのRADIUSサーバの設定
- SSHまたはTelnetで、ローカル管理者でYAMAHA RTXのCLIにログインします。
-
コマンドで以下を設定します。
設定項目 設定内容 RADIUSサーバのプライマリIPアドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>IPアドレスのプライマリです。 RADIUSサーバのセカンダリIPアドレス SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>IPアドレスのセカンダリです。 RADIUSサーバのポート番号 SingleID 管理者ポータル>認証>RADIUS>基本情報画面の拡張RADIUSサーバ>RADIUSポート番号のポート番号です。 RADIUSクライアントのシークレット SingleIDの拡張RADIUSサーバの登録の手順2のシークレットに設定した文字列です。 1 2 3 4
radius auth on radius auth server <RADIUSサーバのプライマリIPアドレス> <RADIUSサーバのセカンダリIPアドレス> radius auth port <RADIUSサーバのポート番号> radius secret <RADIUSクライアントのシークレット>
Info
YAMAHA RTXについては、RADIUSを使用したログインユーザーの管理を参考にさせていただきました。
サイト識別する属性の確認方法
YAMAHA RTXが送信するNAS-IP-Address属性およびNAS-Identifier属性の属性値を確認します。
- 動作確認方法に従って、認証を試みます。
- 認証が失敗します。
- SingleID 管理者ポータル>ログ>RADIUS認証ログ画面へ移動します。
- 認証失敗したログのNAS-IPまたはNAS-IDの項目を確認します。NAS-IPが、NAS-IP-Address属性の属性値です。NAS-IDが、NAS-Identifier属性の属性値です。
SingleIDのRADIUSサイトの登録
- SingleID 管理者ポータル>認証>RADIUS>簡易設定画面へ移動します。
- カタログ表示ボタンをクリックします。
- カタログからYAMAHA RTXシリーズの登録ボタンをクリックします。YAMAHA RTXシリーズ画面がポップアップします。
-
基本情報タブに、以下を設定します。
設定項目 設定内容 有効/無効 有効 サーバ 拡張 サーバ番号 SingleIDの拡張RADIUSサーバの登録で登録したサーバ番号を選択します。 サイト識別する属性 サイト識別する属性の確認方法で確認できた属性を選択します。 属性値 サイト識別する属性の確認方法で確認できた属性の属性値を設定します。 -
管理アクセスの認証タブへ移動します。
-
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
Info
- 2要素認証(OTP)のみ許可を有効にすると、2要素認証(OTP)以外の認証方式のアクセスを拒否します。
-
必要に応じて権限を設定します。YAMAHA RTXの管理者ガイドをご確認ください。
- 管理権限
- 一般権限
-
登録ボタンをクリックします。
動作確認方法
管理者ログインの認証(パスワード認証+ワンタイムパスワード認証)
ソフトウェアトークンのインストール
ソフトウェアトークンとして、以下のiPhoneおよびAndroidのモバイルアプリが利用できます。どちらかのアプリをスマートフォンまたはタブレットへインストールします。
- FreeOTP
- Google Authenticator
SingleIDへソフトウェアトークンの登録
Warning
SingleIDへソフトウェアトークンの登録を行っていないユーザは、ワンタイムパスワードは無効となり、パスワードでの認証となります。
- SingleIDのユーザポータルへログインします。
- SingleID ユーザポータル>オーセンティケーター画面へ移動します。
-
QRコードが表示されていることを確認します。
-
スマートフォンまたはタブレットへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)
-
+をクリックし、新規アカウントを追加します。
-
QRコードをスキャンをクリックし、ユーザポータルに表示されているQRコードを読み取ります。
-
アカウントを追加をクリックし、アカウントを追加します。
-
表示されている数字をSingleID ユーザポータル>オーセンティケーター画面のワンタイムコードへ入力し、保存ボタンをクリックし、オーセンティケーターを登録します。
Info
ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。