Cisco 担当者コラム
Cisco・Security
Security 第47回「Duo のトライアルでMFAを試してみた4」
前回まででDuo側の設定は完了しましたので、今回はMeraki MXをリモートアクセスVPNのサーバとして実際にMFAを利用するところまでをご紹介します。
<利用イメージ>
まずMXのクライアントVPNの設定です。
Merakiのダッシュボードにログイン後、左側メニューから
セキュリティ&SD-WAN>クライアントVPNの順にクリックして設定ページを開きます。
他の設定はとりあえずデフォルト値として画面をスクロールダウンします。
次に認証のプルダウンでRADIUSを選択し、RADIUSサーバとしてDAPの情報を入力します。(DAP側の設定については45話の記事をご覧ください)
ホストはDAPをインストールしたサーバのIPアドレス、ポート番号は[radius_server_auto]で設定したportの値、シークレットは同じく[radius_server_auto]で設定したradius_secret_1の値です。
すべての入力が完了したら変更内容を保存をクリックします。
これでMX側の設定は完了、と思いきや1点重要なステップが残っています。DAPを使ったMFAではユーザが2要素目の認証を実行する関係で通常のRADIUSサーバよりも認証に時間がかかります。そのため、MX側の認証タイムアウト時間を長めにする必要があるのです。(メーカーの推奨値は60秒です)
が、先ほどの設定画面見ていただいてもわかる通りシンプルさが売りのMXには認証タイムアウトの設定ができるパラメータがありません。。。
ですので、画面右上のヘルプ>ケースからメーカーにケースオープンをして認証タイムアウト時間を延ばしてくれるように依頼します。(私の場合は翌日までに対応してもらえました)
続いてクライアント側の設定です。Meraki MXでは各OS標準のVPNクライアントを使用しますので、下記のドキュメントを参考に設定をしてみてください。
https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration/jp
設定が出来たらいよいよ接続を試していきます。
この際、ユーザ名として使用するのはDuoクラウドに登録したUsernameの値となります。
パスワードはユーザデータベース(今回はAD)に登録された値です。
ちなみにワンタイムパスワードを発行するトークンなどをMFAに使用する場合は、パスワードの後ろに,(コンマ)を入れてからOTPを入力するのですが、特に入力しない場合は自動的にDuo Pushに対して通知が飛んできます。
Duoの動作イメージは資料だけ見てもなかなかつかみにくいのですが、実際にやってみるとよくわかります。設定内容もお作法的なところさえつかんでしまえば、特に難しいところはなかったように思います。
今回はRADIUSを使った仕組みのご紹介でしたので、次回はもう一つの用途であるSAML IdPとしてDuoを使用する方法の紹介をしてみたいと思います。
今回は以上です。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」