Q&A
EC2にログインする際に、通常はSSHでログインしますが、
MFA認証を追加するかSAMLでSSOログインさせたいと考えています。
調べた所、
Azureの場合は、VMに拡張を入れることでAzure AD認証が可能になる機能がありました。
https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/login-using-aad
また、Workspacesの場合はMFA認証出来そうですが、
https://aws.amazon.com/jp/blogs/news/amazon-workspaces-multi-factor-authentication-using-azure-mfa/
EC2へのログインでSAML認証方法は見つからず、
また、MFAの場合はWinAuthというのはありましたが、
Linuxの場合に対応しておらず、また、認証情報はAD側に持たせたいので、
EC2内に持つ、という点で不採用かと考えています。
http://blog.serverworks.co.jp/tech/2017/02/08/mfa/
何か良い方式があったら教えてください。
回答1件
0
LinuxのEC2インスタンスへのSSHログイン時にMFAを導入したいという質問と理解しています。
サードパーティ制の仮想MFAデバイス認証で問題ないのであれば、Google Authenticatorをオススメします。
下記クラスメソッドさんの記事にある通り、sshdの認証チャレンジにgoogle authentcatorのpamを追加することで、SSHの認証を公開鍵+MFAという構成にできます。MFAの認証設定をユーザごとにすれば、EC2の起動キーペア+ユーザごとのMFAでSSHでログインすることが可能です。
https://dev.classmethod.jp/cloud/aws/amazon-linux-ssh-two-step-authentication/
https://github.com/google/google-authenticator-libpam
しかしこの問題点として、SSHが必要なEC2インスタンスに逐次設定しなければいけないという問題が残ります。
MFA化したsshdを設定済みのAMIをpackerなどで焼くという手段もありますが、あまりオススメしません。
なぜかというと、それ以外のAMIを使いたくなったときに困るからですね。
私の知識ではこれくらいの方法しか知りません。ご参考になれば幸甚です。
投稿2018/05/27 16:23
総合スコア114
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。