Horizon Cloud ポッドのゲートウェイ構成で 2 要素認証設定を構成した後、特定のゲートウェイ関連の IP アドレスから受信した認証要求を許可するように対応する 2 要素認証システムの構成も設定する必要があります。

ゲートウェイの Unified Access Gateway インスタンスは、特定の IP アドレスから 2 要素認証サーバと通信することを試みます。ネットワーク管理者が、ポッドの Azure 仮想ネットワーク (VNet) およびサブネットに対する 2 要素認証サーバのネットワーク可視性を決定します。そのネットワークの可視性とポッド ゲートウェイ タイプ(外部または内部)の組み合わせによって、2 要素認証サーバ構成で構成してその通信を許可する必要がある特定のゲートウェイ関連 IP アドレスが決まります。

重要:

使用している 2 要素認証システムに適したドキュメントに従う必要があります。

RADIUS 2 要素認証システムは、許可された RADIUS クライアントの概念を使用します。たとえば、 FreeRADIUS クライアント構成のための FreeRADIUS Wikiに記載されているように、 /etc/raddb/clients.conf ファイルには RADIUS クライアントの定義が次のように含まれています。
client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

RSA SecurID 2 要素認証システムは、RSA Authentication Manager と通信するために登録された認証エージェントの概念を使用します。たとえば、SecurID Authentication Manager のドキュメント - 認証エージェントの追加で説明するように、RSA Authentication Manager のセキュリティ コンソールを使用して、必要な IP アドレスをその内部データベースに追加します。

このトピックでは、ポッドのゲートウェイとの間の通信を有効にするために、また、各ポッドの更新後にその通信の復元力を維持するために、2 要素認証サーバで使用する必要がある Horizon Cloud ポッドの情報について説明します。

ゲートウェイ構成の Unified Access Gateway インスタンスからの通信を受け入れるには、2 要素認証サーバで適切な IP アドレスからの通信を許可する必要があります。

通常、ネットワーク管理者は、2 要素認証サーバがデプロイされたポッドに接続されている VNet およびサブネットに対して持つネットワーク アクセスを決定します。2 要素認証サーバとの通信時に Unified Access Gateway インスタンスが使用する特定の送信元 IP アドレスは、次の条件に依存します。

  • ゲートウェイ構成で RADIUS と RSA SecurID のどちらのタイプを構成したか
  • ゲートウェイ構成が内部であるか外部であるか
  • ネットワーク管理者が、2 要素認証サーバをポッドの VNet 内からアクセス可能として構成しているか、または VNet の外部に配置しているか
  • ポッドの VNet 内で 2 要素認証サーバにアクセスできる場合、その VNet 内のどのポッドのサブネットから、ネットワーク管理者が 2 要素認証サーバへのアクセスを構成したか
RSA SecurID - 外部と内部の両方のゲートウェイ構成
RSA Authentication Manager サーバには、個々の Unified Access Gateway インスタンスの NIC からの通信が表示されます。RSA Authentication Manager 構成で、次の NIC IP アドレスを認証エージェントとして登録します。
  • 外部ゲートウェイの場合、ゲートウェイの dmz サブネット上の 4 つの NIC
  • 内部ゲートウェイの場合、ゲートウェイの tenant サブネット上の 4 つの NIC
RADIUS - 内部ゲートウェイ構成
内部ゲートウェイ構成用にデプロイされた Unified Access Gateway インスタンスは、自身の NIC のプライベート IP アドレスを使用して、その 2 要素認証サーバに通信します。2 要素認証サーバは、NIC のプライベート IP アドレスである送信元 IP アドレスから受信した要求を認識します。ネットワーク管理者は、ポッドの管理またはテナント サブネットの IP アドレス範囲にそのサーバがアクセス可能かどうかを構成しています。Microsoft Azure の内部ゲートウェイのリソース グループには、そのサブネットに対応する 4 つの NIC があり、そのうち 2 つが 2 個の Unified Access Gateway インスタンスに対して現在アクティブです。もう 2 つの NIC はアイドル状態で、ポッドが更新を完了した後にアクティブになります。実行中のポッド操作のため、および各ポッドの更新後のために、ゲートウェイと 2 要素認証サーバ間の通信接続をサポートするには、サーバに対して可視性のあるサブネットに対応する、Microsoft Azure での内部ゲートウェイのリソース グループにある 4 つの NIC の IP アドレスからのクライアント接続を許可するようにサーバを構成する必要があります。以下の ポッド ゲートウェイ NIC の IP アドレスからの通信を許可するセクションを参照してください。
注: 内部ゲートウェイで構成された RSA SecurID タイプの場合は、テナント サブネット上の 4 つの NIC の NIC IP アドレスを追加します。
RADIUS - 外部ゲートウェイ構成と、ポッドの VNet の内部でアクセス可能な 2 要素認証サーバ
ネットワーク管理者が、ポッドと同じ VNet で 2 要素認証サーバがアクセス可能になるように構成している場合、 Unified Access Gateway インスタンスは NIC のプライベート IP アドレスを使用して、そのサーバと通信します。2 要素認証サーバは、NIC のプライベート IP アドレスである送信元 IP アドレスから受信した要求を認識します。ネットワーク管理者は、ポッドの管理、テナント、または DMZ サブネットの IP アドレス範囲にサーバがアクセス可能かどうかを構成しています。Microsoft Azure の外部ゲートウェイのリソース グループには、そのサブネットに対応する 4 つの NIC があり、そのうち 2 つが 2 個の Unified Access Gateway インスタンスに対して現在アクティブです。もう 2 つはアイドル状態で、ポッドが更新を完了した後にアクティブになります。実行中のポッド操作のため、および各ポッドの更新後のために、ゲートウェイと 2 要素認証サーバ間の通信接続をサポートするには、サーバに対して可視性のあるサブネットに対応する、Microsoft Azure での外部ゲートウェイのリソース グループにある 4 つの NIC の IP アドレスからのクライアント接続を許可するようにサーバを構成する必要があります。以下の ポッド ゲートウェイ NIC の IP アドレスからの通信を許可するセクションを参照してください。
RADIUS - 外部ゲートウェイ構成と、ポッドの VNet の外部でアクセス可能な 2 要素認証サーバ
ネットワーク管理者がポッドの VNet の外部に 2 要素認証サーバを構成している場合、外部ゲートウェイ構成の Unified Access Gateway インスタンスは、外部ゲートウェイの Azure ロード バランサ リソースの IP アドレスを使用して、そのサーバに接続します。外部ゲートウェイのロード バランサ リソースの IP アドレスからのクライアント接続を許可するように、サーバを構成する必要があります。以下の 外部ゲートウェイのロード バランサからの通信を許可するセクションを参照してください。

ポッド ゲートウェイ NIC の IP アドレスからの通信を許可する

ポッドがデプロイされると、ポッド デプロイヤは Microsoft Azure サブスクリプションのゲートウェイのリソース グループに NIC のセットを作成します。次のスクリーンショットは、内部ゲートウェイ タイプと外部ゲートウェイ タイプの NIC の例です。ポッド ID がこれらのスクリーンショットでピクセル化されている場合でも、デプロイヤが NIC の名前に -management-tenant-dmz を付けているパターンを確認することができます。ポッドのリソース グループの名前については、第 1 世代テナント - Microsoft Azure にデプロイされたポッド用に作成されたリソース グループを参照してください。


ポッド デプロイヤが内部ゲートウェイ構成用に作成した NIC および仮想マシンのスクリーンショット。


ポッド デプロイヤが外部ゲートウェイ構成用に作成した NIC および仮想マシンのスクリーンショット。

2 要素認証サーバに対するネットワーク可視性を持つサブネットに対応する、2 要素認証設定を有効にしたゲートウェイ構成の NIC の IP アドレスを取得して、それらの IP アドレスを 2 要素認証サーバの構成で許可されたクライアントとして指定する必要があります。

重要: 更新後に 2 要素認証サーバとポッドとの間の接続が中断されないようにするには、2 要素認証設定を使用して構成した各ゲートウェイで、以下に記載されている 4 つの NIC の IP アドレスが、確実に 2 要素認証サーバの構成で許可されたクライアントとして指定されているようにします。実行中のポッド操作の間は、NIC の半数のみがアクティブになっていますが、これらはポッドの更新後に切り替わります。ポッドを更新した後、NIC の残り半分がアクティブになり、更新前の NIC は再び切り替えられることになる次回のポッドの更新まで、アイドル状態になります。アクティブおよびアイドル状態の両方の NIC の IP アドレスを 2 要素認証サーバ構成に追加していない場合、2 要素認証サーバは、ポッドの更新後の現在アクティブの NIC セットからの接続要求を拒否し、そのゲートウェイを使用するエンド ユーザーのログイン プロセスは停止します。

2 要素認証サーバ構成に追加するゲートウェイの NIC の IP アドレスを取得するには、次の操作を行います。

  1. ネットワーク管理者から、ポッドのどのサブネットに 2 要素認証サーバに対するネットワーク可視性があるかについての情報を取得します(管理、テナント、または DMZ)。
  2. サブスクリプションの Microsoft Azure ポータルにログインし、ゲートウェイのリソース グループを特定します。
  3. ネットワーク管理者によって 2 要素認証サーバに対する可視性があると言われているサブネットに対応する NIC について、各 NIC をクリックして、その IP アドレスをコピーします。
  4. 使用している 2 要素認証システムのドキュメントに従って、それらの IP アドレスを追加し、2 要素認証サーバがそれらの NIC からの通信を受け入れるようにします。
RADIUS 2 要素認証サーバを使用する場合にゲートウェイの NIC IP アドレスを追加する例
次のコードブロックは、ポッドと同じ VNet 内で、ポッドのテナント サブネットからのアクセスが可能である RADIUS サーバがネットワーク管理者によって構成されている内部ゲートウェイについて、ポッドのテナント サブネットの IP アドレスを持つ NIC のクライアント構成行の一部を示しています。このポッドがデプロイされたとき、ポッドのテナント サブネットは 192.168.25.0/22 として構成されました。ポッドが最初にデプロイされるときに、NIC1 と NIC2 はアクティブになり、NIC3 と NIC4 はアイドル状態になります。ただし、これら 4 つの NIC はすべて RADIUS サーバ構成に追加されており、ポッドの更新後に、NIC3 と NIC4 がアクティブになり、NIC1 と NIC2 がアイドル状態になると、RADIUS サーバはこのゲートウェイからの接続を受け入れ続けます。RADIUS サーバに固有の適切な構文を使用する必要があることに注意してください。
client UAGTENANTNIC1 {
  ipaddr = 192.168.25.5
  secret = myradiussecret
}
client UAGTENANTNIC2 {
  ipaddr = 192.168.25.6
  secret = myradiussecret
}
client UAGTENANTNIC3 {
  ipaddr = 192.168.25.7
  secret = myradiussecret
}
client UAGTENANTNIC4 {
  ipaddr = 192.168.25.8
  secret = myradiussecret
}

RADIUS 2 要素認証 - 外部ゲートウェイのロード バランサからの通信を許可する

2 要素認証サーバがポッドの VNet の外部に配置されている場合は、そのサーバを指定した外部ゲートウェイに対して、外部ゲートウェイの Azure ロード バランサ リソースのパブリック IP アドレスを 2 要素認証サーバの構成で許可されたクライアントとして追加する必要があります。Microsoft Azure ポータルを使用し、ゲートウェイのリソース グループでロード バランサ リソースを特定することによって、このロード バランサの IP アドレスを取得できます。

  1. サブスクリプションの Microsoft Azure ポータルにログインし、ゲートウェイのリソース グループを特定します。
  2. ゲートウェイのリソース グループで、ロード バランサ リソースをクリックします。これには、vmw-hcs-podID-uag-lb というパターンの名前が付いています。その IP アドレスが概要情報にリストされます。
  3. 使用している 2 要素認証システムのドキュメントに従って、ゲートウェイのロード バランサ IP アドレスを追加し、2 要素認証サーバがその IP アドレスからの通信を受け入れるようにします。
RADIUS 2 要素認証サーバを使用する場合に外部ゲートウェイのロード バランサ IP アドレスを追加する例
次のコードブロックに例を示します。RADIUS サーバに固有の適切な構文を使用する必要があることに注意してください。
client MYPODUAGEXTLBIP {
  ipaddr = 52.191.236.223
  secret = myradiussecret
}