二要素認証 (2FA)

BlueOnyx では二要素認証 (2FA) を利用でき、SSH ログインおよび GUI ログインに対する追加の保護レイヤーとして機能します。

BlueOnyx の 2FA 実装は、SSH が有効な Shell アカウントと GUI ログイン (5211R/5212R) に対して追加のセキュリティ層を提供します。アカウントで 2FA が有効になっている場合、ログイン時にはユーザー名、パスワード、さらにモバイル端末上の 2FA アプリで生成した使い捨ての「認証コード」の入力が求められます。対応する認証アプリは Google Authenticator と RedHat FreeOTP で、どちらも Android と Apple デバイス向けに提供されています。以下にダウンロードリンクがあります。

SSH 用 2FA:

GUI ログイン用 2FA:

Authenticator の使い方:

  • Apple App Store または Google Play Store から Google Authenticator または RedHat FreeOTP Authenticator をダウンロードします。
  • アプリを開き、「+」ボタンを押して新しいアカウントを追加します。
  • 「バーコードをスキャン」を選択し、BlueOnyx GUI の「個人プロフィール」/「SSH Access」で「2FA QR-image」を読み取るか、「Authentication Key」を手動で入力します。
  • SSH で BlueOnyx サーバーへログインする際は、ユーザー名とパスワードに加え、Authenticator アプリが生成した認証コードを入力します。
  • アカウントの安全性を保つため、キーやワンタイムコードを他人と共有しないでください。

Authenticator アプリのダウンロードリンク:

Google Authenticator:

RedHat FreeOTP Authenticator:
Download from Apple App Store Download from Apple App Store
Download from Google Play Store Download from Google Play Store

BlueOnyx における GUI 統合 (SSH 用)

サーバー管理者は「サーバー管理」/「ネットワークサービス」/「サーバーアクセス」で「二要素認証 (2FA)」を有効にする必要があります。「Password Authentication」を無効にして「Public Key Authentication」を有効のままにしても構いません。BlueOnyx の 2FA 統合は次のように動作します。

ユーザーが SSH 鍵交換を済ませている場合は、引き続き パスワードなし、かつ 2FA なしでログインできます。BlueOnyx では、交換済みの SSH 鍵は十分に安全であると考えています。

ユーザーが SSH 鍵交換をしていないが Shell アクセスがあり、かつ 2FA が有効な場合は、「Password Authentication」の有無に関係なく、ユーザー名とパスワードに加えて、Authenticator アプリで生成した 2FA コードの入力も求められます。

ユーザーに Shell があり、そのユーザーでは 2FA が無効、かつ SSH が「Password Authentication」なしで構成されている場合、そのログインは交換済み SSH 鍵でのみ可能です。

これにより、鍵交換は従来どおり機能し続け、まだ SSH 鍵を交換していないユーザーには 2FA を利用できます。

GUI ログインに対する 2FA 必須化

さらにサーバー管理者は、特定のユーザーまたはすべてのユーザーに対し、GUI ログインで 2FA を必須にできます。これは「サーバー管理」/「Security」/「2FA」で設定できます。

「GUI-Login: 2FA required」を有効にすると、次の 3 つの選択肢から設定できます。

  • すべてのユーザー
  • サーバー管理者のみ
  • サーバー管理者とサイト管理者のみ

このページでは、すべてのユーザーについて 2FA 必須かどうか、有効化済みか、2FA 設定日、GUI への直近の 2FA ログイン日時も表示されます。バックアップコードの再生成や、既存の 2FA 設定のリセットも可能です。

2FA の Vsite 統合

各 Vsite では、以下のようにそのユーザーに対して 2FA を有効または無効にできます。

サーバー全体の GUI ログイン向け 2FA ポリシーは、この Vsite のすべてのユーザーにも適用されます。サーバー全体の 2FA ポリシーが「すべてのユーザー」である場合、その Vsite の全ユーザーは例外なく 2FA が必須です。SiteAdmin はこのページから、自分が管理するユーザーのバックアップコード再生成や既存の 2FA 設定リセットも行えます。

ユーザーの 2FA 資格情報

各ユーザーは GUI の「個人プロフィール」/「My 2FA」で自分の 2FA 資格情報を確認できます。

上の画像は、すでに構成済みの 2FA セットアップを示しています。

すべての権限レベルのユーザー向け初回 2FA 設定:

ユーザーに 2FA が必須で、まだ設定されていない場合、BlueOnyx はそのユーザーをセットアッププロセスへ直接リダイレクトし、登録が正常に完了するまで GUI への完全なアクセスを制限します。


ユーザーがログインします。

2FA は必須です。2FA 設定が完了して検証されるまで、すべてのメニュー項目は無効になります。

ここで 2FA 設定を検証する必要があります。

検証が成功すると、2FA バックアップコードが最後に一度だけ表示されます。

以後このページに戻ってもバックアップコードは表示されませんが、ここで新しいバックアップコードを要求したり、2FA をリセットしたりできます。これにより再度必須の設定と検証が行われます。

  

これにより、セキュリティポリシーは定義されるだけでなく、実際に強制されます。

個人用 2FA ページでは、QR コード登録、バックアップコード、状態情報がコンパクトで分かりやすい形で表示されます。1Password などの認証ツールとの互換性もあります。