Amazon WorkSpaces編～多要素認証ログイン①～

投稿日 2015年4月2日
著者 aws-recipe-user
カテゴリーコンピューティング

こんにちは！Narimasaです！

今回は、仮想デスクトップサービスであるAmazon WorkSpacesに多要素認証を設けるため、EC2にFreeRADIUSとGoogle Authenticator をインストールします。

※今回の記事は下記を参考にハンズオン形式で作成しています。
http://aws.typepad.com/sajp/2014/10/google-authenticator.html

RADIUSとは

Remote Authentication Dial In User Serviceの頭文字から名付けられたプロトコルで、クライアントの認証・承認を行うために用いられます。
今回はPAM(Pluggable Authentication Module)でユーザー認証を行い、これにGoogle Authenticator(2段階認証アプリ)を合わせることで、WorkSpacesにログインする際に2段階認証を設ける形式になります。

前準備

多要素認証を用いるにあたって、今回は下記の環境を利用します。

・WorkSpaces Connectを介してActive Directoryと連携しているWorkSpaces環境。
・WorkSpacesと同じVPC内にあるEC2インスタンス(Amazon Linux)。
・EC2インスタンスに対してWorkSpaces Connectのコントローラからの接続を許可(UDP 1812ポート)

インストール

EC2インスタンスにSSHで接続し、必要なパッケージをインストールします。

# sudo yum update
# sudo yum install freeradius freeradius-utils git gcc pam-devel qrencode qrencode-libs qrencode-devel

1 2	# sudo yum update # sudo yum install freeradius freeradius-utils git gcc pam-devel qrencode qrencode-libs qrencode-devel

次にGoogle Authenticatiorをソースからインストールします。

# git clone https://code.google.com/p/google-authenticator/

1	# git clone https://code.google.com/p/google-authenticator/

インストールしたらコンパイルします。

# cd google-authenticator/libpam/
# make
# sudo make install

# cd google-authenticator/libpam/

# make

# sudo make install

設定

RADIUS認証用のグループを作成します。

# sudo groupadd radius-enabled

1	# sudo groupadd radius-enabled

FreeRADIUSをrootユーザーで動作させる為の設定を行います。

# sudo vim /etc/raddb/radiusd.conf

#user = radiusd
#group = radiusd
user = root
group = root

# sudo vim /etc/raddb/radiusd.conf

#user = radiusd

#group = radiusd

user = root

group = root

RADIUSがPAMを使うように設定します。

# sudo vim /etc/raddb/users

#DEFAULT   Group == "disabled", Auth-Type := Reject
 #      Reply-Message = "Your account has been disabled."
 #
DEFAULT    Group != "radius-enabled", Auth-Type := Reject
       Reply-Message = "Your account has been disabled."
DEFAULT        Auth-Type := PAM

# sudo vim /etc/raddb/users

#DEFAULT Group == "disabled", Auth-Type := Reject

# Reply-Message = "Your account has been disabled."

DEFAULT Group != "radius-enabled", Auth-Type := Reject

Reply-Message = "Your account has been disabled."

DEFAULT Auth-Type := PAM

# sudo vim /etc/raddb/sites-available/default

# Pluggable Authentication Modules.
pam

# sudo vim /etc/raddb/sites-available/default

# Pluggable Authentication Modules.

pam

続いて、FreeRADIUSがGoogle AuthenticatorのPAMモジュールを使うように設定します。

# sudo vim /etc/pam.d/radiusd

#auth       include     password-auth
#account    required     pam_nologin.so
#account    include     password-auth
#password   include     password-auth
#session    include     password-auth
auth requisite pam_google_authenticator.so
account required pam_permit.so
session required pam_permit.so

# sudo vim /etc/pam.d/radiusd

#auth include password-auth

#account required pam_nologin.so

#account include password-auth

#password include password-auth

#session include password-auth

auth requisite pam_google_authenticator.so

account required pam_permit.so

session required pam_permit.so

FreeRADIUSがRADIUSプロトコルで受け付けるサブネットとパスワードを設定します。

# sudo vim /etc/raddb/clients.conf

#          secret = testing123
 #        }
 #}
client VPC Network Address {
        secret          = password
        shortname       = from-vpc
}

# sudo vim /etc/raddb/clients.conf

# secret = testing123

# }

client VPC Network Address {

secret = password

shortname = from-vpc

}

ここまででFreeRADIUSの設定は完了です。
FreeRADIUSを起動させます。

# sudo chkconfig –level 345 radiusd on
# sudo /etc/init.d/radiusd start

1 2	# sudo chkconfig –level 345 radiusd on # sudo /etc/init.d/radiusd start

起動できれば設定成功です。

次回は、Google Authenticatorを利用して実際に多要素認証ログインを行います。

お楽しみに！！

この記事を書いた人

aws-recipe-user

記事一覧

Amazon WorkSpaces編～多要素認証ログイン①～

RADIUSとは

前準備

インストール

設定

この記事を書いた人

aws-recipe-user

Amazon WorkSpaces編～WorkSpacesを立ちあげたら行うこと…

WorkSpacesのOSのアップデートについて

WorkSpacesのデータ保全性について

Amazon WorkSpaces編～USから東京へ切り替える～