Juniper SA と Identikey Server
の連携のための
クイックスタートガイド
(Version 1.0)
2010 年 9 月 22 日
VASCO Data Security
Copyright
© VASCO Data Security 2010. All rights reserved.
Trademarks
DIGIPASS and VACMAN are trademarks of VASCO Data Security. All other trademarks are trademarks of their respective owners.
目次
1 本クイックスタートガイドについて ... 4 2 想定アーキテクチャ ... 4 2.1 開始前の準備 ... 4 2.2 システム要件 ... 5 3 Juniper SA の設定 ... 5 4 Identikey Server ... 17 4.1 ポリシーの設定 ... 17 4.2 クライアント(Client)の設定 ... 22 4.2.1 クライアントの作成 ... 22 4.3 バックエンドサーバ(BACK-END)の設定 ... 23 4.3.1 バックエンドサーバの作成 ... 23 5 ユーザの設定 ... 26 5.1 ODBC のインストレーション ... 26 5.1.1 ユーザの作成 ... 26 5.1.2 DIGIPASS のインポート ... 28 5.1.3 DIGIPASS の割り当て ... 30 5.2 Active Directory 上のインストール ... 33 5.2.1 ユーザの作成 ... 33 5.2.2 DIGIPASS のインポート ... 35 5.2.3 DIGIPASS の割り当て ... 37 6 Identikey Server の特徴 ... 406.1.4 認証メソッド ... 40
6.2 導入 ... 41
6.2.1 管理者用インタフェース ... 41
6.2.2 Active Directory への機能拡張 ... 41
6.2.3 Dynamic User Registration (DUR)... 41
6.2.4 パスワードの自動学習 ... 42 6.2.5 ストアード パスワード プロキシ ... 42 6.2.6 DIGIPASS の割り当て ... 42 6.2.7 DIGIPASS の自動割り当て ... 42 6.2.8 猶予期間 ... 42 6.2.9 バーチャル DIGIPASS によるバックアップ ... 42 6.2.10 大量管理 ... 44 6.2.11 CSV ファイルのインポート ... 44 6.2.12 ユーザ自身で管理可能な Web インタフェース ... 44 6.3 管理 ... 46 6.4 他の特徴 ... 46 6.4.1 プロトコルのサポート ... 46 6.4.2 冗長性、フェイルオーバとレプリケーション ... 47
1
本クイックスタートガイドについて
本文書は、Juniper SA と Identikey Server の設定のためのクイックスタートガイドです。 Identikey Server のインストールと設定に関しては、「Identikey Server インストールガイド」 をご参照ください。
2
想定アーキテクチャ
本書で想定しているアーキテクチャは以下のようになります。Juniper SA は RADIUS のクライア ントとして動作します。本文書では、バックエンドの RADIUS サーバとして、IAS サーバがイン ストールされていることを前提としていますが、IAS サーバが存在しなくても問題はありません。 Juniper SA Domain Controller DNS Server Active Directory Identikey Server IAS Server 図 1:想定アーキテクチャ2.1
開始前の準備
設定の前に、以下の物がお手元にあることを確認してください。 • Identikey Server のメディア2.2
システム要件
Identikey Server では、下記のオペレーティングシステムを対象としています。 • Windows Server 2003 (32 ビット又は 64 ビット) SP1 以上又は R2 • Windows Server 2008 (32 ビット又は 64 ビット) • Windows Server 2008 R2 (64 ビット) • Windows XP SP1 以上 (*) • Windows Vista (*)• Novell Suse Linux Enterprise Server 10 (32 ビット又は 64 ビット) • Ubuntu 8.04 Server Edition (32 ビット又は 64 ビット)
• Redhat Enterprise Linux 5 (32 ビット又は 64 ビット)
(注意)(*) は、テストやデモ目的、又は、小規模な実装のみサポート。
3 Juniper
SA の設定
以下で、Juniper SA の設定を説明します。ここではすでに、Juniper SA の基本的なセットアップ が完了していることが前提となっています。
図 3:Juniper SA の管理画面への認証後の画面
図 4:「Auth Servers」選択後の画面
図 5:認証サーバ選択画面(1)
次に、Identikey Server に対して、RADIUS クライアントになるように、Juniper SA 側の設定をし ます。ここでは、RADIUS クライアントの設定をします。Identikey Server の IP アドレス、 RADIUS の秘密鍵などの設定をします。
図 8:RADIUS クライアント選択画面(全体)
図 9:RADIUS クライアントの設定後の画面
図 10:「User Realms」の設定画面
図 11:「Role」の設定画面(1)
図 12:「Role」の設定画面(2)
以下のように、ユーザ環境に応じて、ロールマッピングを設定します。
図 14:「Role」の設定画面(4)
4 Identikey
Server
ここでは、Identikey Server が正常にインストールされてからのオペレーションについて説明し ています。
4.1
ポリシーの設定
ここでは Identikey Server の設定について説明します。
正しい Back-end に問い合わせが行き、IAS サーバを指すように他の RADIUS サーバを追加するポ リシーを設定する必要があります。
新しいポリシーを追加するためには、「POLICY」のタブより、「Create」を選びます。
ともできます。こうしたポリシーは、他と独立したポリシー、デフォルトのポリシー、あるいは 他のポリシーを継承するポリシー、あるいは他のポリシーをコピーしたポリシー等で設定するこ とができます。
「policy name」を記述して、環境に合わせ「option」を選びます。もし、あなたが、他のポリシ ーから設定情報を継承したければ、「Inherit default setting from another policy 」を選んでく ださい。すでに存在しているポリシーを選択したい場合には、「Copy all setting from another
Policy」を選択してください。また、新しいポリシーを作りたい場合は、「Create new Policy with not active settings」を選択してください。
図 16:Identikey Server の設定(2)
本文書では、新規のポリシーを作成して、認証に関するポリシーの詳細を記述しています。 「policy properties」の設定の画面で、バックエンドサーバ(back-end server)を使うように設 定します。これは、ローカルなデータベースを使って、かつ、Windows (Active Directory) あるい は他の RADIUS サーバ(RADIUS)を使うという意味です。
Local auth.: Digipass / Password
Back-End Auth.: If Needed
Back-End Protocal.: Radius
User 設定タブ
Dynamic User Registration: Yes
Password Autolean: Yes
Stored Password Proxy: Yes
Windows Group Check: No Check
Challenge Setting tab
2-Step Challenge Response: None
Primary Virtual DIGIPASS: None
このポリシーを設定した後、認証の際には、(ユーザがローカルにない場合には)必要に応じて、 バックエンドの Active Directory に問い合わせに行きます。ユーザのクレデンシャルが Identikey Server をパススルーし、Active Directory 側でそのユーザのクレデンシャルをチェックして、 Access-Accept または Access-Reject の RADIUS メッセージとともに IAS サーバに返答します。
図 17 : Identikey Server の 設定(3)
4.2
クライアント(Client)の設定
4.2.1
クライアントの作成
接続のテストをするため、既存の RADIUS クライアント(既存の RADIUS クライアントはすべて の接続をリッスンしています)の設定値を変更する必要があります。 すでに、デフォルトのクライアントを使っている場合には、新しい RADIUS コンポーネントを作 成すると良いでしょう。以下の例は、その作成の方法について示しています。 図 20: Identikey Server 設定(6)Client Type に「Radius Client」を選択し、「Location」には、Juniper SA の IP アドレスを記述し ます。「Policy ID」はポリシーの項目で設定した「VASCO Labs Policy 」を設定します。 「Protocol ID」は「RADIUS」選択します。Juniper SA で設定した「shared secret」を入力し、 「Create」をクリックします。
図 21: Identikey Server 設定(6)
4.3
バックエンドサーバ(BACK-END)の設定
4.3.1
バックエンドサーバの作成
次に IAS サーバのための設定をします。この設定は、IAS サーバを設定していない場合は必要あり ません。
図 22: Identikey Server 設定(7)
ここまでで、ポリシーとバックエンドの設定は終了しました。次の章で、どのように手動でユー ザを追加するかを示します。この文書の設定では、「Dynamic User Registration (DUR)」を可能 としていますので、IAS サーバで認証されたユーザでローカル・データベースには存在しないユー ザは自動的に、ローカル・データベースに自動的に追加されます。また、DIGIPASS をどのよう にユーザに割り当てをするかを示します。
5
ユーザの設定
ユーザの設定のステップでは、ポリシーの設定の中で、「Dynamic User Registration (DUR) 」 または/あるいは 「Password Autolearn」というオプションをアクテベーションできない時 の手続きを示します。
次のステップで、DIGIPASS を手動で割り当てを行います。ユーザの作成と DIGIPASS の割り当 てのステップは、Identikey Server をインストールした Back-End サーバのデータベースに依存し ます。ODBC のバックエンドでインストールするか、あるいは、Active Directory をバックエンド としてインストールします。
5.1 で ODBC のインストレーションの場合(デフォルトでインストールした場合)を示し、5.2 で データベースを Active Directory にした場合の設定について記述します。
5.1 ODBC
のインストレーション
5.1.1
ユーザの作成
ODBC のバックエンドを使う際に、ユーザの作成を管理 GUI の中で実施します。「USERS」タブ から「Create」を選択します。
図 25: ODBC データベースを使った時のユーザ作成(2)
ここで、管理 GUI 上で、ユーザのリストを参照することができるようになります。ここまでで、 「Dynamic User Registration (DUR)」を可能にした時の動作と全く同じ状態になります。
5.1.2 DIGIPASS のインポート
管理 GUI から、「DIGIPASS」のタグから「Import」を選びます。 図 27: DIGIPASS のインポート(1) DPX ファイルのあるフォルダをブラウズして、転送キー(Transport Key)を入力し、 「UPLOAD」をクリックします。 図 28: DIGIPASS のインポート(2)図 29: DIGIPASS のインポート(3)
次の画面では、インポートする DIGIPASS のドメインや OugUnit の情報を入力し、「IMPORT」 というボタンをクリックします。通常はデフォルトで問題ありません。
DIGIPASS のインポートが成功すると、インポートされたシリアル番号の DIGIPASS が 「DIGIPASS」⇒「Lists」のタグを選ぶことで表示できるようになります。
図 31: DIGIPASS のインポート(5)
5.1.3 DIGIPASS
の割り当て
DIGIPASS にユーザを割り当てるには、2つの方法があります。ユーザを検索してそのユーザに DIGIPASS を割り当てるか、または、DIGIPASS を検索して、その DIGIPASS にユーザを割り当 てるか、のいずれかの方法で可能です。以下で、2つの方法の違いがわかるように説明します。
図 33: DIGIPASS の割り当て(2) 「ASSIGN」をクリックします。 図 34: DIGIPASS の割り当て(3) もし、User ID をブランクにして(何も入力しないで)「Next」のボタンを押すと、同じドメイン の中で、DIGIPASS の割り当てとして利用可能なユーザがリスト化されます。ユーザ名で部分検 索することも可能です。 Notice: ユーザが1つも現れない場合には、DIGIPASS のドメインとユーザが会っているかを確認
してください。
図 35: DIGIPASS の割り当て(4)
ここで、「ASSIGN」をクリックしてください。すると、以下のように、ユーザと DIGIPASS が 割り当てられます。
5.2 Active
Directory
上のインストール
5.2.1
ユーザの作成
ユーザを作成するためには、Active Directory を back-end として使用して、「Active Directory
Users and Computers MMC」の中で、実行します。ユーザを右クリックして「Properties」を
選択します。これは、ポリシーの設定の中で「Dynamic User Registration (DUR) 」オプション を設定していれば、自動的に行われます。
図 37: Active Directory のユーザの作成(1)
「DIGIPASS User Account」 タブには、パスワードのためのフィールドがあります。これは、 ポリシー設定の中で「Password Autolearn」オプションを可能にすることによって、自動的に追 加されます。
図 38 : Active Directory のユーザの作成(2)
「Apply」ボタンをクリックした後、現在の日にちと時刻を入力された「Update History」フィー ルドを参照することができます。このフィールドが記述されていることは、DIGIPASS のフィー ルドが存在して使用できることを意味します。
5.2.2 DIGIPASS のインポート
MMC の中で DIGIPASS のフォルダを確認して、「View」のタグで「Advanced Features」を選 択します。下記のように、DIGIPASS のフォルダが見えるようになります。
図 40: DIGIPASS のインポート(1)
「DIGIPASS-Pool」フォルダを右クリックして、「Import DIGIPASS … . 」を選択します。
DPX ファイルのある場所をブラウズして、転送キー(Transport Key)を入力します。「Show Applications」でクリックして現在の利用できるアプリケーションをみることができます。また、 DPX ファイルの中のすべてのアプリケーションをインポートするか、あるいは、1 部だけをイン ポートするかを選択することができます。「Import」をクリックすると、下記のような「Show Applications」ボタンが表示されます。 図 42: DIGIPASS のインポート(3) DIGIPASS のインポートが成功すると、以下のような確認のメッセージが現れます。
図 43: DIGIPASS のインポート(4)
5.2.3 DIGIPASS の割り当て
DIGIPASS にユーザを割り当てるには、2つの方法があります。DIGIPASS を検索して、その DIGIPASS にユーザを割り当てるか、あるいは、ユーザを検索してそのユーザに DIGIPASS を割 り当てるかのいずれかの方法で可能です。以下で、2つの方法の違いがわかるように説明します。 「User」を右クリックして、「Assign DIGIPASS... 」 を選択します。図 44: DIGIPASS の割り当て(1)
もし、User ID をブランクにして(何も入力しないで)Find のボタンを押すと、同じドメインの 中で、DIGIPASS の割り当てとして利用可能なユーザがリスト化されます。ユーザ名で部分検索 することも可能です。 図 46: DIGIPASS の割り当て(3) DIGIPASS をユーザに割り当てるときの、同様な手続きで可能になります。適切な DIGIPASS を 検索するか、あるいは、シリアル番号を検索するかで DIGIPASS を選択することができます。す べてのオプションを空にすると、同じドメイン上で可能なものがすべて表示されます。ここで、 「Search upwards …」のチェックボックスをクリックすることを忘れないでください。
6 Identikey
Server の特徴
6.1
インストール
Identikey Server のインストールは、直感的にわりやすく、操作は非常に簡単です。Identikey Server は Windows と Linux 上で動作し、様々なデータベースをサポートし、オンライン登録をサ ポートします。異なる認証方式は、既存環境へのシームレスな統合を可能にします。
6.1.1 Windows
2003,
2008 および IIS5, IIS6 をサポート
Identikey Server は Windows 2003, 2008 Server にインストールできます。Web モジュールは IIS5 及び IIS6 上で動作し、Citrix Web Interface, Secure Gateway, Secure Access Manager (フォーム ベース認証), Outlook Web Access 2003 及び 2008(ベーシック認証)を保護します。
6.1.2 ODBC および Active Directory をサポート
デフォルトでバンドルされている PostgreSQL の代わりに、ODBC 準拠の各種データベースを使 用することができます。DIGIPASS 認証基盤の設定と管理は AD 管理ツールに完全に統合されてい ます。このオプションでは、AD のスキーマアップデートを必要とします。
6.1.3
オンライン・ライセンス
オンライン・ライセンスの仕組みにより、ライセンスファイルを電子メールで自動配送すること ができます。6.1.4
認証メソッド
Identikey Server では下記のような様々な認証メソッドを設定することができます: ローカルな認証メソッド(Identikey Server のみ) プロキシー認証メソッド(バックエンドの RADIUS サーバのみ) Windows 認証メソッド(Windows のドメインコントローラのみ)6.2
導入
Identikey Server のいくつかの機能によって、導入を容易するができます。これらの特徴を組み合 わせることによって、マニュアル方式から完全自動方式まで異なる導入シナリオを提供します。6.2.1
管理者用インタフェース
管理用インタフェースは、IE や FireFox 等ブラウザーを使ってアクセス可能です。6.2.2 Active
Directory への機能拡張
ユーザおよび DIGIPASS の管理を Active Directory の[Users and Computers]の中で、設定する ことができます。ユーザのプロパティを選択すると、以下のような、完全なユーザと DIGIPASS の管理が Active Directory のインタフェースの中で提供されています。
図 47: Active Directory 上のインタフェース
6.2.3
Dynamic User Registration (DUR)
この機能により、もしユーザ名とパスワードが有効であるならば、Identikey Server はバックエン ドの RADIUS サーバもしくは Windows のドメインコントローラの(まだ Identikey Server のデー タベースに存在しない)ユーザ名およびパスワードをチェックし、Identikey Server データベース にユーザ名を生成させます。
6.2.4
パスワードの自動学習
この機能では一箇所でユーザのパスワードを変更させることによって、管理者の時間と労力を省 くことができます。ユーザが Identikey Server データベースに保管されているパスワードにマッチ しないパスワードでログインを試みた場合、Identikey Server はバックエンドの RADIUS サーバも しくは Windows のドメインコントローラでそれを確認し、正しい場合、それを将来の使用のため に保存します。
6.2.5
ストアード パスワード プロキシ
Identikey Server はユーザの RADIUS サーバのパスワードもしくは Windows のドメインコントロ ーラのパスワード(固定パスワード)をデータベースに保存することができます。そしてユーザ はユーザ名と動的なワンタイムパスワードでのみログインすることが可能になります。もしこの 機能を無効にした場合は、OTP に続き、ただちにユーザ名と固定パスワードによるログインをす る必要があります。
6.2.6 DIGIPASS の割り当て
ユーザは DIGIPASS のシリアル番号を Web サイトで入力することによって、お客様自身で固定パ スワードと OTP での、DIGIPASS の割り当てを行うことができます。6.2.7 DIGIPASS の自動割り当て
大量のインポート、または、Dynamic User Registration を通じて、いずれも手動でユーザ作成を 行う際、ユーザが最初に DIGIPASS を利用するのと同時にユーザ作成し、自動割り当てをするこ とができます。また、DIGIPASS のシリアル番号とユーザ名を電子メールにより管理者に送るこ とができます。
6.2.8
猶予期間
DIGIPASS の割り当てから OTP を使ってログインをするまで、ある程度の猶予期間(デフォルト では 7 日)を提供しています。この猶予期間は、初めて DIGIPASS 使用した際、自動的に期限切 れとなります。この機能は、管理者が DIGIPASS をユーザに割り当てた後に、一定期間の間に実 際の DIGIPASS をユーザに配布することを可能にます(例:別の拠点に DIGIPASS を送付する必メッセージを使います。ユーザはこのワンタイムパスワードを使ってシステムにログインします。
プライマリー・バーチャル DIGIPASS
プライマリー・バーチャル DIGIPASS は、標準的な DIGIPASS トークンと同様に取り扱われます。 それは Identikey Server のデータベースにインポートされ、ユーザに割り当て、他の DIGIPASS 同 様に Identikey Server のデータベースによって扱われます。 図 48: バーチャル DIGIPASS の設定画面例 バックアップ・バーチャル DIGIPASS バックアップ・バーチャル DIGIPASS の機能は、単純にユーザの携帯電話に OTP を送れる様にし ます。これは Identikey Server と別々のものではありませんが、ユーザに割り当てず、有効にする か無効にするかだけです。
バックアップ・バーチャル DIGIPASS は、また、既に別の DIGIPASS を持っているユーザが、そ の DIGIPASS を利用できない時に有効にすることができます。バックアップ・バーチャル DIGIPASS の取扱いは、時間や使用回数などで制限を設けることができます。システムアドミニ ストレータは SMS を送るための関連経費をコントロールすることができます。
6.2.10
大量管理
管理者は一回のマウスクリックで素早く複数のユーザと DIGIPASS を管理することができます。6.2.11 CSV ファイルのインポート
カンマで区切られたファイル(.csv)は、ユーザ情報を(DIGIPASS のシリアル番号やその他の情 報を含めて)作成することができます。Identikey Server にこのファイルをインポートすることに よって、割り当てられた DIGIPASS およびその他決定された設定でユーザが作られます。6.2.12
ユーザ自身で管理可能な Web インタフェース
以下の項目について、ユーザがユーザ自身で登録や実行が出来る様に、Tomcat 上で動作する Web インタフェース(サイト)が提供されています。 ・Identikey Server へのユーザ名の登録 ・バックエンドサーバ(RADIUS か Windows)のパスワード登録 ・DIGIPASS の登録(セルフ アサイン) ・バックエンドサーバとのパスワードの同期機能 ・PIN の変更(DIGIPASS GO 3 / GO 6) ・DIGIPASS のテスト6.3
管理
直感的な操作性を備えた Microsoft Management Console (MMC)は、製品を管理するために使用す るためのインタフェースです。
図 50: オーディットビューア
6.4
他の特徴
6.4.1
プロトコルのサポート
Identikey Server は PPTP をサポートします。(PAP, CHAP, MS-CHAP v1, MS-CHAP v2, MPPE)。Identikey Server の機能として CHAP と MS-CHAP を使用する際は、次のいくつかの機 能が使用できないか、限定されてしまします。
・PIN の変更
・ストアード パスワード プロキシ ・チャレンジ/レスポンス
ユーザ自身で管理可能な Web インタフェース(Use Self Management Web Site)が、上記の欠点を 解決するために利用することできます。
6.4.2
冗長性、フェイルオーバとレプリケーション
Identikey Server はデータベースの同期を機能的に保証するデータベースのレプリケーションを組 み込んだプリマリーとバックアップを構成できます。これは、何らかの冗長性やフェイルオーバ を考慮します。接続が回復されるまで、複製プロセスは再接続を自動的に試みます。 Identikey Server データベースのレプリケーションを構成する代わりに、アクティブディレクトリ のオプションである AD レプリケーションを使用することができます。同じことが、ODBC 準拠 のデータベースについてもいえます。(SQL Server, Oracle)7
VASCO Data Security について
VASCO は強力な認証と電子署名のソリューション、およびサービス分野における No.1 サプライ ヤです。1,350 社もの国際金融機関をはじめ、100 カ国以上で 9,000 社を越す企業を顧客に持ち、 こうした企業のインターネット上の安全を日々守り続けている、世界をリードするソフトウエ ア・カンパニーです。 VASCO のソリューションは、主に金融、エンタープライズセキュリティ、電子商取引、電子政府 で活用されています。 会社についての概要は以下をご覧ください。
株式会社VASCO Data Security Japan
〒105-0003 東京都港区西新橋1-2-9 日比谷セントラルビル14階 TEL: 03-5532-7862 FAX: 03-5532-7373
