7.4. IdM での OTP バリデーション用の RADIUS サーバー設定
プロプライエタリーのワンタイムパスワード (OTP) ソリューションから Identity Management (IdM) ネイティブの OTP ソリューションへの大規模なデプロイメントの移行を可能にするために、IdM では、ユーザーのサブセットに対して OTP バリデーションをサードパーティーの RADIUS サーバーにオフロードすることができます。管理者は、各プロキシーが単一の RADIUS サーバーのみを参照できる RADIUS プロキシーのセットを作成します。複数のサーバーに対応する必要がある場合は、複数の RADIUS サーバーを参照する仮想 IP ソリューションを作成することが推奨されます。
このようなソリューションは、keepalived
デーモンなどを使用して、RHEL IdM の外部でビルドする必要があります。次に、管理者はこれらのプロキシーセットのいずれかをユーザーに割り当てます。ユーザーが RADIUS プロキシーが設定されている限り、IdM は他のすべての認証メカニズムをバイパスします。
IdM は、サードパーティーシステムのトークンに対するトークン管理または同期のサポートを提供しません。
OTP バリデーション用に RADIUS サーバーを設定し、プロキシーサーバーにユーザーを追加する手順を実行します。
前提条件
- radius ユーザー認証方法が有効になっている。詳細は、Web UI でのワンタイムパスワードの有効化 を参照してください。
手順
RADIUS プロキシーを追加します。
$ ipa radiusproxy-add proxy_name --secret secret
このコマンドは、必要な情報を挿入するように求められます。
RADIUS プロキシーの設定には、クライアントとサーバーとの間の共通のシークレットを使用して認証情報をラップする必要があります。
--secret
パラメーターにこのシークレットを指定します。追加したプロキシーにユーザーを割り当てます。
ipa user-mod radiususer --radius=proxy_name
必要に応じて、RADIUS に送信するユーザー名を設定します。
ipa user-mod radiususer --radius-username=radius_user
これにより、RADIUS プロキシーサーバーがユーザーの OTP 認証の処理を開始します。
ユーザーが IdM ネイティブ OTP システムに移行する準備ができたら、ユーザーの RADIUS プロキシー割り当てを削除するだけです。
7.4.1. 低速ネットワークで RADIUS サーバーを実行する場合の KDC タイムアウト値の変更
低速ネットワークで RADIUS プロキシーを実行している場合などの特定の状況では、ユーザーがトークンを入力するのを待機している間に接続がタイムアウトして、RADIUS サーバーが応答する前に Identity Management (IdM) Kerberos Distribution Center (KDC) が接続を閉じます。
KDC のタイムアウト設定を変更するには、以下を実行します。
/var/kerberos/krb5kdc/kdc.conf
ファイルの[otp]
セクションでtimeout
パラメーターの値を変更します。たとえば、タイムアウトを120
秒に設定するには、以下のようにします。[otp] DEFAULT = { timeout = 120 ... }
krb5kdc
サービスを再起動します。# systemctl restart krb5kdc
関連情報