2段階認証の設定 - RADIUS Authenticator

PAM360は、RADIUSサーバーおよびVasco DigipassなどのRADIUS準拠の二要素認証（TFA）システムとの連携をサポートし、ユーザー認証に追加のセキュリティレイヤーを提供します。RADIUSベースの認証を活用することにより、シングル認証とは異なり、ユーザーは第二の要素を通じて本人確認を行うことが求められます。セットアッププロセスでは、RADIUSサーバーの必要な詳細情報を設定し、PAM360で認証の第二要素として有効化します。設定が完了すると、ユーザーはプライマリ認証情報を正常に入力した後、RADIUSシステムを通じて認証を行う必要があります。

1.RADIUSサーバーとPAM360の連携

RADIUSサーバーをPAM360と連携するには、.conf ファイルにユーザー名とパスコードなどの認証詳細を作成することで、リソース上にRADIUSサーバーをインストールおよび設定します。RADIUSサーバーのセットアップが完了したら、PAM360のWebインターフェースに移動し、「2段階認証の設定」でRADIUS Authenticatorを有効にし、必要な設定詳細を以下のとおり入力します：

1. RADIUSサーバーのFQDN/IPアドレス - RADIUS サーバーが実行されているホストのホスト名または IP アドレスを入力します。
   
2. RADIUSサーバーの認証ポート - RADIUS サーバー認証に使用するポートを入力します。既定では、RADIUSは、RADIUS認証のためにUDPポート1812に割り当てられています。
3. サーバー プロトコル - ユーザーの認証に使用されるプロトコルを選択します。次の4つのプロトコルから選択します：パスワード認証プロトコル (PAP)、チャレンジ ハンドシェイク認証プロトコル (CHAP)、Microsoft チャレンジ ハンドシェイク認証プロトコル (MSCHAP)、Microsoft チャレンジ ハンドシェイク認証プロトコルバージョン2 (MSCHAP2) 。
4. 認証リクエストのタイムアウト - 認証期間に必要なタイムアウトを選択します。次に、PAM360とRADIUSサーバー間の接続を確立するために、サーバーSecretを手動で入力またはPAM360 に保存されているアカウントを使用のいずれかを選択します。
5. サーバーSecret - RADIUSサーバーシークレットをテキストボックスに手動で入力するか、PAM360に、製品に保存されているシークレットを使用するように命令するオプションがあります。その場合、ドロップダウンからリソース名とアカウント名を選択する必要があります。2番目のオプション - RADIUSパスワードをPAM360に保存してドロップダウンから選択する方法が推奨されるアプローチです。

最後に、連携を完了するためにユーザーに対してRADIUS TFAを適用します。詳細な手順については、こちらを参照してください。

2.RADIUS AuthenticatorをTFAとして使用したPAM360 Webインターフェースへの接続

TFA が有効になっているユーザーは、連続して 2 回認証する必要があります。上記で説明したように、第1レベルの認証はPAM360のローカル認証またはAD/Entra ID/LDAP認証を通じた通常の認証によって行われます。
RADIUS Authenticatorを有効にした後でPAM360 Webインターフェースに接続するには、次の手順を実行します。

1. PAM360のログインページで、第1レベルの認証を進め、「ログイン」をクリックします。
2. 次に、RADIUSコードの入力を求めるプロンプトが表示されます。
3. ログインしようとしているユーザー（.confファイルで指定されたユーザー）のコードを入力し、第2段階の認証を完了してPAM360にログインします。