様々な Web サイトで採用されている 2 要素認証ですが、Nextcloud でもログインの際に 2 要素認証を利用することができます。特に Google Authenticator を利用した 2 要素認証は個人のスマートフォンがあれば簡単に導入できます。
しかし、スマートフォンを破損/紛失した際にログインができなくなってしまいます。
これを救済するために、Nextcloud では、あらかじめ利用者個々にバックアップコードを取得しておいて、これでログインができる仕組みがあります。
が、バックアップコードを取得しておいても、いざという時に「バックアップコードどこやったっけ?」というのはよくある話です。
最後の砦であるバックアップコードを紛失してしまっては Nextcloud の利用者はこれ以上は何もできなくなるため、システム管理者に問い合わせるしか手はありません。
問い合わせがあった際にシステム管理者がどう対処すればよいのかを今回記事にしてみます。
救済手順をざっくりまとめ
- 管理者は Impersonate アプリを利用して 申告ユーザーに代理ログインし、このユーザーのバックアップコードを発行、通知。
- 申告ユーザーは通知されたバックアップコードでログイン、Google Authenticator の再設定。
もう少し詳しく
①システム管理者の手順
- Nextcloud で代理ログインを実現するための Impersonate アプリをインストール、有効にしておく。Impersonate アプリに関する解説は こちら 。
- 管理者権限をもつユーザー (="admin" グループに属しているユーザー ) で Nextcloud にログイン。
- 右上のアイコンをクリック→「ユーザー」をクリックでユーザー管理画面に遷移する。
- ログインできなくなったと申告のあったユーザーの "…" をクリック→「代理」をクリック。これで申告ユーザーとして代理ログインができる。
-
【申告ユーザーで代理ログイン中】
右上のアイコンをクリック→「設定」をクリックで設定画面に遷移。
-
【申告ユーザーで代理ログイン中】
個人設定の「セキュリティ」をクリック。
-
【申告ユーザーで代理ログイン中】
「二要素認証」の「バックアップコードを再生成」をクリックしてバックアップコードを取得。
-
【申告ユーザーで代理ログイン中】
ログアウト。
- 取得したバックアップコードを申告のあったユーザーに通知。
②申告ユーザーの操作
- ログイン画面でユーザー名とパスワードを入力。
- 「TOTP (Authenticator app)」画面で「バックアップコードを使用する」をクリック。
- システム管理者から通知されたバックアップコードを入力。
- 個人設定の「セキュリティ」をクリック。
- 「TOTP (Authenticator app)」の「TOTP有効化」チェックを一旦外し、再度チェック。表示される QR コードを利用して Google Authenticator 認証を再設定。
