IBM i 7.6新機能!MFA認証機能とはどんなもの?
Question
IBM i (AS/400)の最新バージョンであるV7.6ではMFA認証機能(多要素認証)が搭載されているという情報を見ました。
実際に設定する場合、どのように設定するのでしょうか。
また、設定後はどのような運用になりますでしょうか。
Answer
IBM i 7.6の目玉とも言える(かもしれない!!)MFA認証。
どのように設定をするのか、またどのように動くのかを、こちらでも検証してみました。
ここでは通常のサインオン時に追加係数を必要とする設定をご紹介します。
まず、MFA認証を行うためには以下の設定がされている必要があります。
-----------------
システム値の設定
QPWDLVL=4以上
QSECURITY=40以上
NTPによる時刻同期
※参照記事:POWER9システム時間のズレを、業務に影響ないように修正したい
https://www.e-bellnet.com/category/technology/1902/1902-66.html
今回検証で使用したエミュレータはIBM i Access Client Solutions(ACS)です。ACSでテストされる場合はバージョン1.1.9.8以上をご用意ください。
MFA認証の有効化
CHGSECA ADLSGNFAC(*ENABLED)
※設定を反映させるためには再起動が必要です
MFA認証を行いたいユーザーにてTOTP(Time-based One-Time Password)キーを設定する
※この操作は、管理者が代理で実行できない操作になります。各ユーザーにて実施してください。
- MFA認証を行いたいユーザーにてサインオンします
- TOTPキーの設定コマンドを実行します
コマンド例:CHGTOTPKEY TOTPKEY(*GEN)
TOTPキーが表示されますので、控えておいてください
※「recovery key」は、リカバリーに必要なキーになるので大切に保管してください。
控えたTOTPキーを認証アプリに登録します。
今回は「Google Authenticator」という認証アプリを使用しました。
「copy/paste version」に書かれた文字列をコピーして利用するとスペースを抜く必要がないので便利です。
以下はスマートフォンに導入した認証アプリの設定画面です。
*SECADM権限を持つユーザーにてサインオンし、MFS認証を可能にするようユーザープロファイルの設定を変更する
CHGUSRPRF USRPRF(IBMIUSER) AUTHMTH(*TOTP) TOTPOPTITV(60)
※TOTPオプション間隔(TOTPOPTITV)は、再度MFA認証が必要になるまでの間隔です。単位は「分」です。
これで設定は完了です。では、実際にどのような動きになるのかを見てみましょう。
以下は、ACSを使用したサンプルです。
ACSのセッションを起動する。最初のサインオン画面
ユーザー、パスワードのほかに「追加係数」を入れます。この追加係数は認証アプリから払い出されたワンタイムパスワードを入力します。(この追加係数の項目は、古いACSでは表示されませんので認証に失敗します)
※MFA認証設定をしていないユーザーの場合、追加係数に入力された値は無視されます。
以下は認証アプリでのワンタイムパスワード払い出し画面です。時間によってパスワードがリフレッシュされるので、リフレッシュされる前に入力を完了させましょう。
5250サインオン画面
サインオン画面にも追加係数(ADDITIONAL FACTOR)の項目があります。認証アプリから払い出されたワンタイムパスワードが有効であれば、追加係数無しにサインオンできます。
※今回検証した環境は日本語環境なのですが、現時点ではMFA認証の設定を行うとサインオン画面が英語になるようです。
どうでしょう。少しイメージできましたでしょうか。
上記内容を見て、ACSをお使いのお客様は1つ疑問に思ったかもしれません。プラグインのログオンキャッシュの機能がどうなるのかと・・・。
ACSの「GettingStarted」を見ると、ログオンキャッシュの機能にも追加係数を指定するパラメータが用意されているようですが・・・
TOTPキーを使用している場合、いちいちこの値を変えることになると思うので、ログオンキャッシュはあまり機能しないのではないかと、私も正直疑問に思っているところです。
そもそも追加係数を使用する場合は、セキュリティの観点からログオンキャッシュは使わないほうがいいのかもしれませんね。
GettingStarted
https://www.ibm.com/support/pages/ibm-i-access-acs-getting-started
なお、MFA認証を行うとなると、5250のサインオン以外にもネットサーバーへの接続やODBC接続などもあるかと思いますが、そういった機能については考慮が必要なようです。
以下、IBMのレターを参照:
https://www.ibm.com/docs/ja/i/7.6.0?topic=mfa-i-software-client-application-considerations
新機能としてこういったものがあるのは理解できましたが、運用に乗せるにはまだまだハードルが高いように感じますね。
V7.6はまだ発表されて間もないですので、今後の動きに注目したいです。
by . かんぴょう木綿さん