課題
- 認証エンドポイントで使用する ESET Secure Authentication (ESA) の構成
- クライアントがユーザー名とパスワードを認証しない
- クライアントがユーザー名とパスワードを認証する
- RADIUSのアクセスチャレンジ機能を使用する
- クライアントがユーザー名とパスワードを検証しない - 複合を避ける
- <非推奨
- サンプル統合ガイド
ソリューション
ESAでは、Active Directory(AD)環境での認証処理方法に基づいて、3つのクライアントタイプ(VPNなど)を区別しています。
クライアントがユーザ名とパスワードを検証しない
すべてのVPNがこのシナリオをサポートする必要があります。ESA ウェブ・コンソールで RADIUS クライアントを設定するときに、「Client Type」を「Client does not validate username and password」に設定すると、両方の要素(第 1 の要素としてユーザー名とパスワード、第 2 の要素として OTP)が ESA によって検証されます。
要件
ESAウェブコンソールで設定したRADIUSサーバーを指すRADIUS認証を使用するように、VPN接続の認証を設定します。
どのように機能しますか?
- SMS ベースの OTP - 初回のログイン試行で、ユーザーはパスワードの入力を求められます。ログイン試行は失敗しますが、ユーザはSMS経由でOTPを受け取ります。2回目のログイン試行で、ユーザーは受け取ったOTPをパスワードフィールドに入力します。
- モバイルアプリケーション OTP/ハードトークン OTP-ユーザーは passwordOTP として、パスワードと OTP の両方を同時に使用してログインします。
- モバイルアプリケーションPush-ユーザーはログイン認証情報を使ってログインを試みます。ユーザーのモバイルデバイスにプッシュ通知が生成されます。通知を承認すると、ログインが成功します。
- 2FAを使用していないユーザー/ホワイトリストに登録されているユーザー:ユーザはログイン認証情報を使用してログインします。ESA がパスワードを検証します。
クライアントがユーザ名とパスワードを検証
VPNがこれをサポートし、正しく設定されていることを確認してください。設定が正しくない場合、パスワード認証がスキップされる可能性があります。ESA Web コンソールで RADIUS クライアントを設定するときに、Client Type をClient validates username and passwordに設定すると、最初の要素(ユーザー名とパスワード)が AD によって検証されます。
要件
自分のサーバを指す認証と、ESA RADIUSサーバを指すRADIUS認証を1つずつ設定する。
どのように機能するのか?
- SMS ベースの OTP-ログイン試行は 2 回必要です。まず、ユーザーは最初のパスワードフィールドにパスワードを入力し、次に引用符を付けずに「
sms」と入力します。正しいユーザー名とパスワードが入力されると、エラーメッセージなしでログイン画面が再度表示され、ユーザーはSMSでOTPを受け取ります。2回目のログイン試行では、ユーザーは受信したOTPを2つ目のパスワードフィールドに入力します。
- モバイルアプリケーションOTP/ハードトークンOTP-ユーザーは生成されたOTPを2つ目のパスワードフィールドに入力します。
- モバイル・アプリケーション・プッシュ-ユーザは「empty」、「none」ユーザ名、または「push」を引用符なしでフィールドに入力します。ESA はプッシュ通知を生成し、その承認を待つ。
- 2FAのないユーザー/ホワイトリストに登録されたユーザー:ユーザは2つ目のパスワード・フィールドを空にするか、そのフィールドに引用符なしで「none」または「push」と入力します。
RADIUSのアクセスチャレンジ機能を使用する
このオプションは、VPNサーバーがESA RADIUSのみに連絡して両方の要素(第1要素としてユーザー名とパスワード、第2要素としてOTP)を検証するが、認証が2つのステップで構成されている場合に使用します。
以下のRADIUSクライアントは、RADIUS Access-Challenge機能をサポートしています:
- Junos Pulse(VPN)
- Linux PAMモジュール
以下のRADIUSクライアントは、Access-Challenge機能と併用しないでください:
- Microsoft RRAS
必要条件
ESAウェブコンソールで設定したRADIUSサーバーを指すRADIUS認証を使用するように、VPN接続の認証を設定します。
どのように機能しますか?
- SMS認証:ユーザーはログイン認証情報を使用してログインし、次の画面またはポップアップダイアログでSMS経由で受信したOTPを入力します。
- モバイルOTP/ハードトークン:ユーザーはログイン認証情報を使用してログインし、次の画面またはポップアップダイアログで生成されたOTPを入力します。
- プッシュ認証:ユーザーはログイン認証情報を使用してログインし、生成されたプッシュ通知を承認します。
- 2FAを使用しないユーザー/ホワイトリストに登録されたユーザー:ユーザはログイン認証情報のみを使用する。
クライアントがユーザ名とパスワードを検証しない - 複合を避ける
要件
ESAウェブコンソールで設定したRADIUSサーバを指すRADIUS認証を使用するように、VPN接続の認証を設定します。
どのように機能しますか?
- SMSベースのワンタイムパスワード、モバイル・アプリケーション・プッシュ- 最初のログイン試行で、ユーザーはパスワードの入力を求められます。ログイン試行は失敗しますが、ユーザはSMS経由でOTPを受け取ります。2回目のログイン試行で、ユーザーは受け取ったOTPをパスワードフィールドに入力します。
- モバイルアプリケーションOTP/ハードトークンOTP-ユーザーはパスワードを入力する必要はなく、OTPのみを入力します。セキュリティリスクを下げるために、モバイルアプリケーションPINを強制します:
- ESA ウェブ・コンソールで、[Settings(設定)]>[Mobile Application(モバイル・アプリケーション)]に移動します。
- Users Must Use a PIN Code(ユーザはPINコードを使用しなければならない)」をオンにします。
- Save をクリックします。
- 2FAのないユーザ/ホワイトリストに登録されているユーザ:ユーザはログイン認証情報を使用してログインします。ESAがパスワードを検証します。
<非推奨
ESAバージョン2.8以前では、管理者はClient does not validate username and passwordと Client validates username and passwordのクライアントタイプの設定に矛盾が生じる可能性がありました。ESA 3.0では、このような設定されたクライアントタイプは<deprecated>と表示されます。このようなクライアントタイプには、対応する非推奨バージョンを使用することをお勧めします。統合ガイドのサンプル
以下の該当するリンクをクリックすると、ご使用の構成に対応する ESET Secure Authentication 統合ガイドが表示されます。統合ガイドは、『ESET SecureAuthentication Verifying ESA RADIUS functionality』ドキュメントと組み合わせて使用するように設計されています。ガイドの一部は古い場合があり、サンプルとして使用されることに注意してください。最新の統合ガイドについては、VPN アプライアンスのベンダーにお問い合わせください。
VPN、ファイアウォール、UTMエンドポイント:
- バラクーダ
- チェック・ポイント・ソフトウェア
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
クラウドとVDIエンドポイント
ESET Secure Authentication を実装する場合は、アプリケーション固有の統合ガイドに加え、ESET Secure Authentication オンラインヘルプも参照することをお勧めします。ESET Secure Authentication API を使用して既存のアプリケーションに ESET Secure Authentication を追加する場合は、『ESET Secure Authentication API User Guide』および『ESET Secure Authentication SSL Certificate Replacement』も参照してください。
