Amazon WorkSpaces編~多要素認証ログイン①~

Pocket

こんにちは!Narimasaです!

今回は、仮想デスクトップサービスであるAmazon WorkSpacesに多要素認証を設けるため、EC2にFreeRADIUSとGoogle Authenticator をインストールします。

※今回の記事は下記を参考にハンズオン形式で作成しています。
http://aws.typepad.com/sajp/2014/10/google-authenticator.html

RADIUSとは

Remote Authentication Dial In User Serviceの頭文字から名付けられたプロトコルで、クライアントの認証・承認を行うために用いられます。
今回はPAM(Pluggable Authentication Module)でユーザー認証を行い、これにGoogle Authenticator(2段階認証アプリ)を合わせることで、WorkSpacesにログインする際に2段階認証を設ける形式になります。

前準備

多要素認証を用いるにあたって、今回は下記の環境を利用します。

・WorkSpaces Connectを介してActive Directoryと連携しているWorkSpaces環境。
・WorkSpacesと同じVPC内にあるEC2インスタンス(Amazon Linux)。
・EC2インスタンスに対してWorkSpaces Connectのコントローラからの接続を許可(UDP 1812ポート)

インストール

EC2インスタンスにSSHで接続し、必要なパッケージをインストールします。

次にGoogle Authenticatiorをソースからインストールします。

インストールしたらコンパイルします。

設定

RADIUS認証用のグループを作成します。

FreeRADIUSをrootユーザーで動作させる為の設定を行います。

workspaces-01

RADIUSがPAMを使うように設定します。

workspaces-02

workspaces-03

続いて、FreeRADIUSがGoogle AuthenticatorのPAMモジュールを使うように設定します。

workspaces-04

FreeRADIUSがRADIUSプロトコルで受け付けるサブネットとパスワードを設定します。

workspaces-05

ここまででFreeRADIUSの設定は完了です。
FreeRADIUSを起動させます。

起動できれば設定成功です。

次回は、Google Authenticatorを利用して実際に多要素認証ログインを行います。

お楽しみに!!