YAMAHAルータの評価ガイド② ワンタイムパスワード認証
目次
目的
本評価ガイドは、「YAMAHAルータの評価ガイド① パスワード認証」に従って設定済みであることを前提とした手順となりますので、ご注意ください。
user1が、YAMAHAルータへ管理者アクセスする際の認証をパスワード認証から2要素認証(パスワード認証+ワンタイムパスワード認証)へ変更します。
YAMAHAルータへリモートアクセスVPNを行う際の認証も2要素認証(パスワード認証+ワンタイムパスワード)としたい場合には、YAMAHAルータのリモートアクセスVPNのPPP認証方式をPAPのみを使用するように、設定してください。
ワンタイムパスワード認証を利用するために、SingleID 管理者ポータル>認証>RADIUS画面>YAMAMA>基本情報の設定にて、「ワンタイムパスワード強制」を有効にした場合には、以下の点にご注意ください。
1.2要素認証(パスワード認証+ワンタイムパスワード)は、PAPまたはEAP-TLS-PAP認証時のみ可能となります。その他のパスワード入力タイプの認証方式(CHAP、MSCHAP、PEAP)の場合には、ワンタイムパスワードは利用できません。
2.一般的に、無線LANアクセスの認証に、ワンタイムパスワードが利用されることは少ないことから、無線LANアクセスの認証時には、ワンタイムパスワードは無効となり、ワンタイムパスワードは利用できません。RADIUSクライアントから送信されるCalled-Station-IDにSSIDが含まれている場合に、無線LANアクセスの認証要求と判断しています。
3.ワンタイムパスワードトークンの設定を行っていないユーザは、ワンタイムパスワードは無効となり、ワンタイムパスワードは利用できません。
環境
「YAMAHAルータの評価ガイド① パスワード認証」を参照してください。
設定方法
SingleIDの設定
RADIUSの設定(「簡易設定-YAMAHA」画面から設定した場合)
SingleIDの管理者ポータルへログインします。
SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「YAMAHA」タブへ移動します。
「YAMAHAルータの評価ガイド①」で登録したサイトを選択し「編集」をクリックします。

「ワンタイムパスワード強制」を「有効」にし、「更新」をクリックします。

動作確認方法
ソフトウェアトークンのインストール
ソフトウェアトークンとして、以下のiPhoneおよびAndroidのスマートフォンアプリが利用できます。どちらかのアプリをスマートフォンへインストールします。
- FreeOTP
- Google Authenticator
SingleIDへソフトウェアトークンの登録
user1のSingle IDのユーザポータルへログインします。
SingleID ユーザポータル>オーセンティケーター画面へ移動します。
QRコードが表示されていることを確認します。

スマートフォンへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)
+をクリックし、新規アカウントを追加します。

「QRコードをスキャン」をクリックし、ユーザポータルに表示されているQRコードを読み取ります。

「アカウントを追加」をクリックし、アカウントを追加します。

表示されている6桁の数字をSingleID ユーザポータル>オーセンティケーター画面の「ワンタイムコード」へ入力し、「保存」をクリックし、オーセンティケーターを登録します。
ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。


YAMAHAルータの管理UIへログイン
http://<YAMAHAルータのIP>/ へアクセスします。
スマートフォンのソフトウェアトークンアプリを起動し、6桁のワンタイムパスワードを確認します。
ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。数字が変わる前に、ログイン処理を終了させる必要があります。

SingleIDのユーザ(user1)でログインを試みます。
user1のパスワードとワンタイムパスワードを:(コロン)でつなげた文字列をパスワードとして入力します。(例:password:123456)
user1でGUIへログインできたことを確認します。
user1で、CLIにもログインすることができることを確認します。
