YubiX で YubiKey をパスワード認証に使う

SSH などのキーストアとして使える YubiKey ですが、RADIUS と組み合わせると汎用的な認証メカニズムとして利用できることが分かりました。

環境を構築するためにはいろいろとアプリをインストール必要がありますが、Yubico から YubiX virtual appliance という VMWare イメージがリリースされているので、これを使うと各種アプリの導入や設定などを大幅に省略して認証サーバを立ち上げることができます。

YubiX

YubiX is a stack of YubiKey related software to simplify building authentication solutions. YubiX is available as separate components for easy installation in your existing environment, and as a virtual machine image for easy testing of all components. YubiX consists of Yubico’s own software and third party software such as FreeRadius.

配布されているのは普通の .vmx と .vmdk ファイルなので、VMを起動するところまで戸惑うことはないと思います。問題は起動した後で、設定方法がマニュアルにきちんと書かれていないので難儀しましたが、Barracuda が公開している「How to Install and Configure YubiX」というドキュメントが非常に参考になりました。

† 準備

使い始めるにあたってやるべき事は「システムのアップデート」「API Key の設定」「RADIUS の設定」 の3点。

まず、システムのアップデートはコンソールからのログインして apt-get update 等で実施します。コンソールからのログインするための初期 ID、パスワードは yubikey と yubico になっています。パスワードの変更や ssh の設定などは必要に応じて行っておくとよいと思います。

次に、ブラウザで Yubico Get API Key を開き、 API Key を取得しておきます。API Key が取得できたら、「（サーバのIP）:8080 」を開いて、管理画面にログインし、 YubiAuth の中にある OTP validation タブの部分に取得した API Key を入力します。

最後に FreeRADIUS の設定ですが、これは FreeRADIUS の RADIUS Clients タブを開き、RADIUS クライアント（認証を要求するマシン）の IP アドレスを設定ファイルに追記する必要があります。記入方法についてはコメントアウトされているものを見るのが手っ取り早いと思います。

† 認証してみる

認証を行うためには対象のユーザーが必要になります。ユーザーの追加は YubiAuth にある Manage Users から行うことができます。ID / PW と共に Yubikey の欄があるので、ここに Yubikey の OTP を入力しておくと、認証時の OTP が有効になります。

RADIUS の認証では ID とパスワードの２つしか入力欄がないので、通常のパスワードの末尾に OTP を付加することになります。つまり、利用者はパスワード欄にパスワードを入力した後で、Yubikey のボタンを押すという操作になるということです。認証のテストは FreeRADIUS のメニューから行うことができるようになっているので、ここでテストして認証に成功すれば認証サーバとして使い始めることができます。