![見出し画像](https://assets.st-note.com/production/uploads/images/102855789/rectangle_large_type_2_54dd617905ea9ca384414767cac73b10.jpeg?width=800)
Microsoft AD は Duo の膝で多要素認証の夢をみる
先日さらっと紹介した 仮想デスクトップ Amazon WorkSpaces
本日はコレにロマンを注入していきます!
MS AD の下の方にこんな設定があります
![](https://assets.st-note.com/img/1681308965348-Rc2RxooEzk.png?width=800)
つまり MS AD では RADIUS 連携で MFA を実現できるわけです!
こんな記事を見つけたのでやってみました
AWS Managed Microsoft AD で Duo を使用して、AWS クライアント VPN エンドポイントに接続するエンドユーザーに多要素認証を提供する方法を教えてください。
https://repost.aws/ja/knowledge-center/client-vpn-use-duo-for-mfa-to-endpoint
コレは VPN を対象にしていますが ここでは WorkSpaces の認証に MFA を追加します
では 設定していきます!
![](https://assets.st-note.com/img/1681309022760-wJfvUdGkzk.jpg?width=800)
まず サインアップ
有償アプリのようですが 無償期間があるようです
![](https://assets.st-note.com/img/1681309095455-ISCgGNDiDQ.png)
Duo のアカウントを作ったら スマホに Duo アプリケーションをインストールしてアカウント認証を完了します
次に Duo にログインします
[アプリケーション] から [RADIUS] を選択し インストールしましょう!
![](https://assets.st-note.com/img/1681309145356-LApWjAKlBj.png?width=800)
RADIUS ユーザーを作成します
[Users] から [Add User] を選択します
WorkSpaces のユーザーを RADIUS ユーザーとして追加します
Active Directory ユーザー名と一致するユーザー名で追加しましょう
![](https://assets.st-note.com/img/1681309251015-wyVeGZgb73.png?width=800)
そして電話番号を設定します
この電話番号で MFA コードを受け取ります
![](https://assets.st-note.com/img/1681309500600-53lmELEZd8.png?width=800)
[Activate Duo Mobile] を選択します
そして以下を実行
ユーザーごとに [Duo モバイルアクティベーションコードを生成] を選択します。2 つの方法を使用して、ユーザーにアクティベーションリンクを通知できます。最初の方法では、[SMS で指示を送信する] を選択して、各エンドユーザーにメールでこのアクティベーションリンクを送信します。
2 番目の方法では、[このステップをスキップする] を選択します。次に、各エンドユーザーのそれぞれのアクティベーションリンクをコピーし、リンクを手動で送信します。
RADIUS として EC2 Windows インスタンスを作成します
これは AD ドメインに参加させてあげてください
EC2 に Windows 用の認証プロキシをインストールします
![](https://assets.st-note.com/img/1681310283600-cxrSAJrQqA.png?width=800)
と 設定ファイル書き換えツール (?) が!
![](https://assets.st-note.com/img/1681311454828-Y4Ai251TwE.png?width=800)
使ってみると [Save] をクリックすれば設定をセーブしてくれて (ゲームかよ) [Validate] をクリックすれば設定を検証してくれます
AWS でのガイドでは以下のように編集するようにとありました
ikey、skey、api_host は DUO の Application > RADIUS で確認する値を入れます
[duo_only_client]
[radius_server_auto]
ikey=XXX
skey=YYY
api_host=api-ZZZ.duosecurity.com
radius_ip_1=<AD-DNS-address#1>
radius_secret_1=<My-password>
radius_ip_2=<AD-DNS-address#2>
radius_secret_2=<My-password>
failmode=safe
client=duo_only_client
port=1812
![](https://assets.st-note.com/img/1681310392376-303Txowlrt.jpg?width=800)
ちなみに <任意のシークレット> は後で Microsoft AD で設定します
ここがちょこっとハマりました
元の設定ファイルにはコレがあるんですよね
[ad_client]
host=
service_account_username=
service_account_password=
search_dn=
[Validate] をクリックするとエラーに!
どげんなっとーと?
エラー内容を読むとどうもココがアヤしかったので とっぱらいました
それで設定が通りました!
ちなみに直にファイルを編集するときはココです
C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg
ここまでくればあと一歩です
次はセキュリティグループをいじります
Microsoft AD のセキュリティグループ名は <ディレクトリ名>_controllers です
これのアウトバウンドルールに RADIUS EC2 の疎通を設定します
![](https://assets.st-note.com/img/1681310597650-5tpJJSZgTA.png?width=800)
RADIUS EC2 のセキュリティグループのインバウンドにも Microsoft AD からの疎通を通します
![](https://assets.st-note.com/img/1681310688414-0PnpgwCtL6.png?width=800)
そして… RADIUS EC2 で Duo 認証サービスを起動します!
サービス名は [Duo セキュリティ認証プロキシサービス] です
![](https://assets.st-note.com/img/1681310732343-ylhilTSXSC.png?width=800)
では 最後の仕上げです
MS AD で多要素認証を有効化しましょう
MS AD コンソールで下の方へスクロールし [多要素認証] セクションで多要素認証を有効化します!
値を入れろと出て来ます
![](https://assets.st-note.com/img/1681310801893-RfrjXnBXWp.png?width=800)
値を設定します
![](https://assets.st-note.com/img/1681310898561-5Gz9qsFHEj.png?width=800)
しばらくすると RADIUS ステータスが「完了」になります
では WorkSpaces にログインしてみましょうか
WorkSpaces アプリを起動します
MFA コード枠が増えています!
![](https://assets.st-note.com/img/1681310989412-fY7XPtWkql.png?width=800)
MFA コードを発行してスマホで承認すると
ログインできました!
![](https://assets.st-note.com/img/1681311025619-Qt0TXZQMzB.png?width=800)
![](https://assets.st-note.com/img/1681311058674-U0JjKM0wqm.jpg?width=800)
ははーっ
この記事が気に入ったらサポートをしてみませんか?