Anyware Connectorの接続時に多要素認証を使いたくて色々調べてみました。
一般的なところだと、FreeRADIUS+WindowsAD +Google Authenticatorが妥当かなと思っていましたが、Windows NPSをRADIUSサーバーとして展開出来るという記述を発見。
これなら、Windows Server+Google Authenticatorで設定が楽かもと思っていたら、Google AuthenticatorはWindows Server非対応らしい。
元記事が見つかっていないので、現在の状況は分かりませんので、気になった方はご自分で調べてください。
こちらでも、どこかで見つけたら追記しておきます。
が、マイクロソフトにもAuthenticatorがあったのをすっかり忘れていました。
そこで
Windows AD + NPS + Windows CA + MS Authenticator
というWindows Servreてんこ盛りでAnyware Connectorの多要素認証が出来ないか試していきます。
証明書も自己署名証明書ではなく、WindowsCAでちゃんと(?)発行した物を使っていこうと思います。
社内利用だからこれで問題ないだろう。 たぶん。
そのうち、Let's Encryptあたりを使った証明書の環境を試してみよう。
あとは、オンプレに構築されているCACに外部(コネクタ用グローバルIP)とオンプレミスからアクセスするコネクタサーバーの証明書をどうするかって言う問題があるんだけど、オンプレのADドメイン名をサブドメインにして、ワイルドカード証明書でも用意すれば何とかなるんだろうか?
そのあたりも踏まえてゆっくり検証していきたいと思います。
一般的なところだと、FreeRADIUS+WindowsAD +Google Authenticatorが妥当かなと思っていましたが、Windows NPSをRADIUSサーバーとして展開出来るという記述を発見。
これなら、Windows Server+Google Authenticatorで設定が楽かもと思っていたら、Google AuthenticatorはWindows Server非対応らしい。
元記事が見つかっていないので、現在の状況は分かりませんので、気になった方はご自分で調べてください。
こちらでも、どこかで見つけたら追記しておきます。
が、マイクロソフトにもAuthenticatorがあったのをすっかり忘れていました。
そこで
Windows AD + NPS + Windows CA + MS Authenticator
というWindows Servreてんこ盛りでAnyware Connectorの多要素認証が出来ないか試していきます。
証明書も自己署名証明書ではなく、WindowsCAでちゃんと(?)発行した物を使っていこうと思います。
社内利用だからこれで問題ないだろう。 たぶん。
そのうち、Let's Encryptあたりを使った証明書の環境を試してみよう。
あとは、オンプレに構築されているCACに外部(コネクタ用グローバルIP)とオンプレミスからアクセスするコネクタサーバーの証明書をどうするかって言う問題があるんだけど、オンプレのADドメイン名をサブドメインにして、ワイルドカード証明書でも用意すれば何とかなるんだろうか?
そのあたりも踏まえてゆっくり検証していきたいと思います。