二要素認証のセットアップ - YubiKey
YubiKeyは、安全で強いユーザー認証が可能なYubico作成の物理キーです。本書に記載の以下の手順にしたがって、YubiKeyでPAM360に二要素認証をセットアップできます。
- PAM360に適合するYubiKey
- PAM360に適合するレガシーYubiKey
- YubiKeyを使った二要素認証の構成と実行
- YubikeyTFAが有効のときにPAM360 Webインターフェイスに接続
1.PAM360に適合するYubiKey
2.PAM360に適合するレガシーYubiKey
- YubiKey 4
- YubiKey 4 Nano
- YubiKey 4C
- YubiKey 4C Nano
- YubiKey NEO
- YubiKey Edge
- YubiKey Edge-n
- YubiKey NEO-n
3.YubiKeyを使った二要素認証の構成と実行
3.1 YubiKeyを使った二要素認証の構成と実行
- [管理者] >> [認証] >> [二要素認証]の順に移動します。
- 開いたウインドウで、[YubiKey]を選択し、[保存]をクリックします。
- [確認]をクリックして、YubiKey 二要素認証を有効にします。
3.2 YubiKey二要素認証の実行
- 前の手順でYubikeyを認証の第二要素として確認すると、新しいウインドウで二要素認証の実行が必要なユーザーを選択するようプロンプト要求されます。
- [有効化]をクリックして、Yubikey二要素認証の実行に必要なユーザーを選択します。
- [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、ユーザーを後で選択することもできます。
- ポップアップウインドウで、YubiKey二要素認証の実行が必要なユーザーを[有効化]をクリックして選択します。
4.Yubikey TFAが有効のときにPAM360 Webインターフェイスに接続
PAM360にログイン中、二要素認証が有効なユーザーは、認証を2回正常に行う必要があります。認証の第一レベルは、通常の認証、すなわち、ユーザーはPAM360のローカル認証か、AD/LDAP認証のいずれか、ユーザーに有効になっている方で認証する必要があります。
- PAM360 Webインターフェイスを起動し、ユーザー名とパスワード(ローカル認証またはAD/LDAP)を入力し、[ログイン]をクリックします。
- 認証の第一レベルが正常に完了したら、PAM360は、YubiKeyのワンタイムパスワードを入力するよう求めます。
- YubiKeyをお使いのラップトップまたはコンピューターのUSBポートに挿入します。
- ワンタイムパスワードを生成する前に、YubiKeyのどちらのスロット(スロット1またはスロット2)を全体の認証に使用するかを決定する必要があります。
- スロット1:YubiKeyを一度タップすると、最初の12文字がこのスロットでは一意となる44文字のセキュリティキーが生成されます。その後このスロットでログインする場合は毎回、最初の12文字は同じまま、ほかの32文字が任意に生成されます。
- スロット2:YubiKeyを2~5秒間タップしたままにすると、最初の12文字がこのスロットでは一意となる44文字のセキュリティキーが生成されます。その後このスロットでログインする場合は毎回、最初の12文字は同じまま、ほかの32文字が任意に生成されます。
- 以下は、ボタンを3回押したYubiKeyでのサンプル出力です。
cccjgjgkhcbbirdrfdnlnghhfgrtnnlgedjlftrbdeut
cccjgjgkhcbbgefdkbbditfjrlniggevfhenublfnrev
cccjgjgkhcbbcvchfkfhiiuunbtnvgihdfiktncvlhck
- PAM360は、データベースのアカウントで12文字のキーと一致し、今後のログイン試行中に、認証の第二レベルでその内容を認証します。
- YubiKeyのワンタイムパスワードを提出後、[登録とログイン]をクリックします。
注記:デフォルトでは、YubiKeyは、NFC構成のモバイルデバイス用のスロット1パスコードを生成します。設定をスロット1からスロット2にYubikeyパーソナライズツールを使って変更し、スロット2パスコードを設定することができます。