こんにちは。セキュリティ製品を担当している林です。

前回に引き続きDuoを使用したSSOについてのご紹介をしていきます。

今回は以下の赤枠部分、社内ADを認証ソースとしてDuo Cloudと同期させる部分の手順についてです。

 

まずは、社内ADの情報をDuo Cloudと同期するために以下のリンクからDuo AuthenticationProxy（DAP）を入手し、ADと通信可能なサーバにインストールします。（ADと同じサーバへのインストールもサポートされています）

 https://dl.duosecurity.com/duoauthproxy-latest.exe

 

最近のバージョンではDAPと一緒にDuo Authentication Proxy Managerという設定用のツールもインストールできるようになっていて、設定の編集やサービスの再起動などに便利なのでそちらも一緒にインストールします。

このDAP、以前RADIUSによるMFAの設定では、RADIUSプロキシとして使用しましたが、今回はローカルのADの情報をDuo Cloudと連携させるためのコンポーネントとして使用しますので役割が違うことにご注意ください。

インストールが完了すると、Duo Authentication Proxy Managerが立ち上がりますのでとりあえずこちらは一旦そのまま置いておきます。

 

続いて、DuoのダッシュボードからDAPに入力するパラメータを入手します。Duoのダッシュボードにログインして（ダッシュボードの作成からログインまでの流れはこちら）ログイン後に左側メニューからSingle Sign-onをクリックすると下記のようにサブドメインを決める画面になりますので任意の値を入力します。

続いて認証に使用するソースの選択画面が出ますので、今回はActive Directoryを選択します。

AddAuthentication Proxyをクリックします

 

次に表示された画面の赤枠部分をコピーします。

 

コピーした情報を、先ほどインストールしたDuo AuthenticationProxy Managerの左側Configureウインドウにテキストで貼り付けます。もともとこのウインドウに入力されていた文字列は今回使いませんので貼り付け前に削除してしまっても問題ありません。

貼り付けたあと、”service_account_username=”と”service_account_password=”の先頭についていたセミコロンを外して、=の先にADにログイン可能なユーザ名とパスワードをそれぞれ入力します。

次に、左下のValidateボタンをクリックしてコンフィグの内容をチェックし、エラーが出なければその隣のSaveボタンで設定を保存します。

 

ここで一旦Duoのダッシュボードに戻りDAPをクラウドに接続するためのコマンドを生成します。生成したコマンドをコピーしたら、DAPが稼働するマシン上で管理者権限で起動したコマンドプロンプトから実行してください。

もう一度ダッシュボードに戻り、Run testボタンを押して“Connected to Duo”と表示されたらDAP側の設定は完了です。最後にReturn to ConfigurationをクリックしてActiveDirectory連携の設定ページに戻ります。

 

ここからは、Duo側にADと連携するための設定を入れていきます。

今回は検証目的のため、暗号化等の設定は行っていませんが、実環境でご利用の際はお客様のポリシーに応じて設定するようにしてください。

Display Name　＝　Duoダッシュボードでの表示名。任意の値でOK。

Domain Controller(s)　＝　参照先ADのIPアドレス。ポート番号はLDAPの場合389。

Base DN(s)　＝　ユーザアカウントを含むコンテナまたはOUに対応したDNを入力。

(例dis-cloud.jpの場合：DC=dis-cloud,DC=jp)

Authentication type　＝　DAPがADに接続する際に使用する認証のタイプ

Transport type　＝　DAPとAD間の暗号化方法。（DAPとDuoクラウドの間はデフォルトでHTTPSにより保護）

 

Email attributes　＝　AD上でメールアドレスが登録されている属性を指定します。

　　　　　デフォルトはmail。

※mailを指定した場合、ダッシュボードのユーザに登録されたADの電子メールアドレスの値で検索するので電子メールアドレスの値が入力されていないと認証に失敗します。

Duo username attribute　＝　今回は使用しません。

Username normalization　＝　入力されたユーザ名を正規化するオプションです。特に要件が無ければ有効にします。

Expired password reset　＝　ユーザが期限切れのパスワードをリセットすることを許可するオプションです。

　　　　　　　　　　　　 有効化にはトランスポートタイプをLDAPSまたはSTARTTLSに設定する必要があるので、今回は無効です。

 

続いて、使用するメールドメインがユーザに紐づくものであることをDNSサーバにレコードを追加することで確認します。DNSサーバへのTXTレコード方法についてはご利用のDNSサーバをご確認ください。

 

以上でDuo側の設定も完了しました。

最後に、Run testを行いエラーが出なければSaveを押して設定を完了します。

 

以上となります。

結構手順が長かったですね。うまくいかないときにはDAP側のLogファイルを確認するとヒントが得られるので是非そちらもご活用ください。

次回はMerakiを使用してアプリケーションとDuoの連携設定をしてみたいと思います。

 

ここまでお読みいただきありがとうございました。