OTPおよびJASサーバーを使用したVMware Horizo​​n View 7での2要素認証の構成

前回の記事では、PKIインフラストラクチャとx509証明書に基づいたVMware Horizo​​n Viewでの2要素認証のセットアップについて説明しました。 今日、2FA認証の別のオプションであるワンタイムパスワード（OTP）を検討してください。 PKIテクノロジーの使用はおそらくより信頼性が高いですが、ユニバーサルモビリティとBYODトレンドの時代では、ユーザーがモバイルを含む任意のデバイスから情報リソースにアクセスする必要がある場合、PKIテクノロジーの使用は必ずしも便利ではなく、時には完全に不可能です。 したがって、ワンタイムパスワード認証（OTP）の人気が高まっています。

この例のOTP実装は、当社の製品に基づいています。 これは、認証サーバー-JaCarta Authentication Server（JAS）です。 オーセンティケーター（OTP生成ツール）は次のいずれかです。

• ソフトウェアトークン（iOS、Android、Windowsを実行するスマートフォン用のGoogle認証システム）;
  
• USBポートを備えた物理トークン（JaCarta WebPass、Yubikeyなど）;
  
• USBポートなしの物理トークン（eToken Passなど）。

次のOTP生成アルゴリズムがサポートされています。

• RFC 4226 + HMAC-SHA-1（6文字）;
  
• RFC 4226 + HMAC-SHA-256（6文字）;
  
• RFC 4226 + HMAC-SHA-256（7文字）;
  
• RFC 4226 + HMAC-SHA-256（8文字）。

SMSゲートウェイを接続して、SMSメッセージの形式でワンタイムパスワードを受信することもできます。

前回と同様に、VMware Horizo​​n Viewのフレームワーク内のVDIは、単純なパスワード認証用にすでに展開および構成されていると想定されています。 JASサーバーとそのためのNTPプラグインは既にインストールされ、構成されています。 また、ユーザーには、ソフトウェアまたはハードウェアトークンが設定されます。 JASのインストールと設定については、パッケージに含まれている大きな退屈なドキュメントがあります。

次に、既存のJASサーバーをVMware Horizo​​n Viewサーバーに接続し、OTP認証を実装することがいかに簡単でシンプルかを示します。

チューニングの進行状況

JASおよびNPSプラグインがインストールされているサーバーで 、 ネットワークポリシーサーバースナップインに移動し、新しいRADIUSクライアントを追加します。


フレンドリ名、 Horizo​​n View Connection ServerのIPアドレス 、および共有シークレットを設定します。


VMware Viewサーバーに移動し、View Connection Server管理コンソールを開きます。

[構成の表示]-> [サーバー]-> [接続サーバー]に移動します 。

必要な認証サーバーを選択して、 「編集」ボタンをクリックします。


開いたウィンドウで、[ 認証 ]タブに移動します。 [ 詳細認証2要素認証]セクションで、ドロップダウンメニューから[ RADIUS ]を選択します。


Enforce 2-factor and Windows user name matchingのチェックボックスをオフにし、 RADIUS認証とWindows認証に同じユーザー名とパスワードを使用します 。


[ 認証システムの管理 ]ボタンをクリックします。 新しいウィンドウで、[ 追加... ]ボタンをクリックします


ラベル -クライアントに表示されるサーバー名、 ホスト名/アドレス -OTPプラグインを使用するNPSサーバーのアドレス、 共有秘密フィールドに入力します。 認証タイプ -PAP。


これでセットアップが完了しました。確認する必要があります。

ラップトップからパフォーマンスを確認する

VmWare Horizo​​n Clientを起動し（Windows、Linux、およびMacOSの場合があります）、サーバーに接続します。


サーバーに接続すると、ログインダイアログが表示され、ユーザー名とOTP （ パスコードフィールド）の入力要求が表示されます。


Google認証システムを開いてOTP値を取得します。


OTP認証に成功すると、ユーザー名とパスワードによってログイン要求が行われます。


OTP->パスワード要求はこの順序で発生し、その逆は発生しません。 これは、推測からパスワードを保護するために行われます。

モバイルデバイスからの機能チェック

携帯電話からは、すべてが同じように見えます。 以下はiOSの例です（Androidもサポートされています）。

まず、Horizo​​nアプリケーションを起動し、サーバーに接続します。




サーバーはOTPを要求します。


Google認証システムに切り替えて、OTP値を覚えておいてください。


Horizo​​nに切り替えてOTPを入力します。


次に、パスワードを入力します。


デスクトップまたはアプリケーションを選択します。




それだけです