YAMAHAルータの評価ガイド② ワンタイムパスワード認証

目的

本評価ガイドは、「YAMAHAルータの評価ガイド① パスワード認証」に従って設定済みであることを前提とした手順となりますので、ご注意ください。

 user1が、YAMAHAルータへ管理者アクセスする際の認証をパスワード認証から2要素認証(パスワード認証+ワンタイムパスワード認証)へ変更します。

YAMAHAルータへリモートアクセスVPNを行う際の認証も2要素認証(パスワード認証+ワンタイムパスワード)としたい場合には、YAMAHAルータのリモートアクセスVPNのPPP認証方式をPAPのみを使用するように、設定してください。

ワンタイムパスワード認証を利用するために、SingleID 管理者ポータル>認証>RADIUS画面>YAMAMA>基本情報の設定にて、「ワンタイムパスワード強制」を有効にした場合には、以下の点にご注意ください。

1.2要素認証(パスワード認証+ワンタイムパスワード)は、PAPまたはEAP-TLS-PAP認証時のみ可能となります。その他のパスワード入力タイプの認証方式(CHAP、MSCHAP、PEAP)の場合には、ワンタイムパスワードは利用できません。

2.一般的に、無線LANアクセスの認証に、ワンタイムパスワードが利用されることは少ないことから、無線LANアクセスの認証時には、ワンタイムパスワードは無効となり、ワンタイムパスワードは利用できません。RADIUSクライアントから送信されるCalled-Station-IDにSSIDが含まれている場合に、無線LANアクセスの認証要求と判断しています。

3.ワンタイムパスワードトークンの設定を行っていないユーザは、ワンタイムパスワードは無効となり、ワンタイムパスワードは利用できません。

環境

YAMAHAルータの評価ガイド① パスワード認証」を参照してください。

設定方法

SingleIDの設定

RADIUSの設定(「簡易設定-YAMAHA」画面から設定した場合)

SingleIDの管理者ポータルへログインします。

製品ログイン一覧

ユーザポータルは、組織の一般ユーザが使用するポータルです。ユーザの登録情報、パスワード変更、ワンタイムパスワード設定を行うことができます 管理者ポータルは、組織…

SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「YAMAHA」タブへ移動します。

YAMAHAルータの評価ガイド①」で登録したサイトを選択し「編集」をクリックします。

「ワンタイムパスワード強制」を「有効」にし、「更新」をクリックします。

動作確認方法

ソフトウェアトークンのインストール

ソフトウェアトークンとして、以下のiPhoneおよびAndroidのスマートフォンアプリが利用できます。どちらかのアプリをスマートフォンへインストールします。

  • FreeOTP
  • Google Authenticator

SingleIDへソフトウェアトークンの登録

user1のSingle IDのユーザポータルへログインします。

製品ログイン一覧

ユーザポータルは、組織の一般ユーザが使用するポータルです。ユーザの登録情報、パスワード変更、ワンタイムパスワード設定を行うことができます 管理者ポータルは、組織…

SingleID ユーザポータル>オーセンティケーター画面へ移動します。

QRコードが表示されていることを確認します。

スマートフォンへインストールしたソフトウェアトークンアプリを起動します。(ここでは、Google Authenticatorを利用します。)

+をクリックし、新規アカウントを追加します。

「QRコードをスキャン」をクリックし、ユーザポータルに表示されているQRコードを読み取ります。

「アカウントを追加」をクリックし、アカウントを追加します。

表示されている6桁の数字をSingleID ユーザポータル>オーセンティケーター画面の「ワンタイムコード」へ入力し、「保存」をクリックし、オーセンティケーターを登録します。

ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。変わる前に、オーセンティケーターの登録を完了させる必要があります。登録する途中で、ソフトウェアトークンの数字が変わってしまった場合には、変わった数字を登録します。

YAMAHAルータの管理UIへログイン

http://<YAMAHAルータのIP>/ へアクセスします。

スマートフォンのソフトウェアトークンアプリを起動し、6桁のワンタイムパスワードを確認します。

ソフトウェアトークンの6桁の数字の表示は、30秒ごとに変わります。数字が変わる前に、ログイン処理を終了させる必要があります。

SingleIDのユーザ(user1)でログインを試みます。

user1のパスワードとワンタイムパスワードを:(コロン)でつなげた文字列をパスワードとして入力します。(例:password:123456)

user1でGUIへログインできたことを確認します。

user1で、CLIにもログインすることができることを確認します。

コメントを残す

メールアドレスが公開されることはありません。