注意
こちらの記事は個人作業の中で備忘録として作成しております。
環境によって手順や動作の差異が生じる可能性のあることをご了承下さい。
Yubikeyを使用したスマートカード認証を実装する(ドメイン環境)
Yubikeyとは
YubiKeyは、物理的なセキュリティキーで、オンラインアカウントやシステムに対する二要素認証(2FA)を提供するデバイスである。これを使うことで、アカウントのセキュリティを強化することができる。
手順で使用するYubikeyの種類
| 製品名 | Yubikey 5 NFC |
導入全体像
今回は、シングルドメインを例にYubikey導入後の作業イメージを簡略に表現しており、詳細な手順の全体像を表現しているわけではない。
導入前の必要な作業
- 導入対象環境調査
- ドメイン環境であれば、シングルドメインなのか、マルチドメインなのかの適用範囲を決定する。
- 適用アカウントの範囲決定
- 社内のどの管理者アカウントに対して適用するかを決定する。
- スマートカード証明書の登録する主体の決定
- 管理者による設定か、ユーザー自身による設定なのかを決定する。それにより、手順が異なる。 基本的にはどちらの作業負担を軽減した方がよいかが一つの基準となる。
- 作業者の決定
- 以下の役割の作業者を決める
-
ADアクセスユーザー 発行したスマートカード証明書を使用してADにアクセスするユーザー スマートカード代理登録者 スマートカード証明書を代理で登録するユーザー CA管理者 証明書のテンプレート作成・公開する管理者 AD管理者 Yubikey導入において必要なAD上の設定を行う管理者
導入手順
今回は、管理者によるスマートカード証明書の代理発行の手順を整理する。
| # | 作業概要 | 説明 | 作業者 | 作業場所 |
|---|---|---|---|---|
| 1 | Yubikeyドライバーインストール | Yubico公式サイトから必要なドライバーをダウンロードし、必要な端末にインストールする | ADアクセスユーザー/AD管理者 | ADアクセスユーザーPC/ADサーバー |
| 2 | Yubikey Managerインストール及び設定 | Yubico公式サイトから必要なアプリをインストールし、Yubikeyに必要な設定を行う | ADアクセスユーザー | ADアクセスユーザーPC |
| 3 | スマートカード証明書のテンプレート作成 | Yubikeyに登録するスマートカード証明書のテンプレートを作成する | CA管理者 | CAサーバー |
| 4 | 登録エージェント証明書テンプレート作成 | 代理登録に必要なエージェント証明書のテンプレートを作成する | CA管理者 | CAサーバー |
| 5 | 証明書テンプレートの公開 | 作成した証明書テンプレートをドメイン環境へ公開する | CA管理者 | CAサーバー |
| 6 | 登録エージェント証明書のインストール | 代理発行を行うために登録エージェント証明書をインストールする | 代理登録管理者 | 代理登録管理者PC |
| 7 | スマートカード証明書の発行 | ADアクセスユーザーに対してスマートカード証明書を代理で発行する | 代理登録管理者 | 代理登録管理者PC |
| 8 | スマートカード認証設定 | ADアクセスユーザーがスマートカード認証のみを利用出来るように設定する | AD管理者 | ADサーバー |
| 9 | ADへアクセス | スマートカードを利用し、ADへアクセス出来るか動作確認を行う | ADアクセスユーザー | ADアクセスユーザーPC |
以下、詳細な手順を記載する。
1. Yubikeyドライバーインストール
1-1. Yubico公式サイトからドライバーをダウンロードする。
今回は、以下の赤丸をADアクセスユーザーのPCとADサーバーへDLする。
情報
ドライバーは、YubikeyのPIN/PUKの管理や証明書の登録などの管理作業に必要なソフトウェアである。
また、基本的には接続元と接続先の全ての端末及びサーバーへインストールが必要である。
1-2. Powershellを管理者権限で起動し、以下のコマンドを実行し、インストールする。
msiexec /i YubiKey-Minidriver-4.6.3.252-x64.msi INSTALL_LEGACY_NODE=1
情報
接続先へリモート接続を行う場合は、INSTALL_LEGACY_NODEのパラーメータの設定の上、ドライバーをインストールする必要がある。
コマンドを実行すると、Yubikey Smart Card MiniDriver×64 Setupウィザードが表示されるので、画面の指示に従い、インストールする。
情報
インストール確認方法
① Powershellで確認
以下のコマンドを実行し、バージョン情報が表示されれば、OK。
Get-WindowsDriver -Online | where {($_.ProviderName -like "Yubico") -and ($_.ClassName -like "SmartCard") -and ($_.Version -like "*")} | select ProviderName,ClassName,Version
② デバイスマネージャーで確認
デバイスマネージャーを起動し、[スマートカード]>[Yubikey Smart Card Minidriver]が表示されているかを確認する。表示されていれば、OK。
2.Yubikey Managerインストール及び設定
2-1. Yubico公式サイトからアプリをダウンロードする。
今回は、以下の赤丸をADアクセスユーザーのPCにDLする。
2-2. DLしたファイルをダブルクリックすると、Yubikey Manager Setupウィザードが表示されるので、画面の指示に従ってインストールする。認識されている場合は、以下の画面のようにYubikeyの情報が表示される。
インストールが完了すると、自動的にYubikey Managerが自動的に起動するので、PC上で正常にYubikeyが認識されていることを確認する。
正しく認識されていない場合は、以下の画面となる。
2-3. YubikeyのPIN/PUKの設定を行う。
PINとPUKに関する説明は以下の通りである。
| PIN | Personal Identification Number | Yubikeyの中の証明書へのアクセスするために必要な暗証番号。スマートカード認証時も入力が必要である。 |
| PUK | PIN Unlock Key | PINがロックされた場合に解除するために使用する暗証番号。一般的には、AD管理者がYubikeyを使用するユーザーの要請を受けて解除する際に利用することが想定される。今回は設定しないが、設定の際は、証明書をYubikeyに登録する前に事前に登録することを推奨する。そうしない場合、PUKのリセットが出来ない場合がある。 |
① Yubikey Managerで[Application]>[PIV]順に選択する。
② [PIN Management]>[Configure PINs]を選択する。
➂ [PIN]>[Change PIN]を選択する。
④ 以下の情報を入力し、[ChangePIN]をクリックする。
| Current PIN | Use defaultに☑を入れる。 |
| New PIN | 新しいPINを入力する。 |
| Confirm new PIN | New PINと同じPINを入力する。 |
3. スマートカード証明書のテンプレート作成
3-1. 証明書テンプレート(certtmpl.msc)を起動する。
3-2.「スマートカードログオン」右クリック>「テンプレートの複製」
3-3.【全般】タブ
3-4.【互換性】タブ
情報
ここで設定したOSのバージョンより前の端末とは、互換性がなくなるため、環境内の最も古い端末のバージョンに合わせる必要がある。上記の例だと、Windows Server2008より前の端末はこの証明書を使用出来なくなる。
3-5.【要求処理】タブ
3-6.【暗号化】タブ
3-7.【セキュリティ】タブ
3-8.【発行の要件】タブ
3-9. 登録確認
4. 登録エージェント証明書テンプレート作成
4-1. 証明書テンプレート(certtmpl.msc)を起動する。
4-2. 「登録エージェント」右クリック>「プロパティ」
4-3. 【セキュリティ】タブ
5. 証明書テンプレートの公開
5-1. 証明機関(certsrv.msc)を起動する。
5-2. 「証明書テンプレート」右クリック>「新規作成」>「発行する証明書テンプレート」順にクリックする。
5-3. スマートカード証明書と登録エージェント証明書のテンプレートを選択し、「OK」をクリックして、作業完了。
6. 登録エージェント証明書のインストール
6-1. 証明書マネージャー(certmgr.msc)を起動する。
6-2.「個人」>「証明書」右クリック>「すべてのタスク」>「新しい証明書の要求」順にクリックする。
6-3.「次へ」
6-4.「次へ」
6-5.「登録エージェント」選択して、「登録」
6-6. 登録状態が成功となれば、作業完了。
7. スマートカード証明書の代理発行
7-1. 証明書マネージャー(certmgr.msc)を起動する。
7-2. 「個人」>「証明書」右クリック>「すべてのタスク」>「詳細設定操作」>「代理登録」
7-3. 「次へ」
7-4. 「次へ」
7-5. 「参照」>前の手順で登録した登録エージェント証明書選択し、「OK」
7-6. 登録エージェント証明書の代理登録者名であることを確認し、「次へ」
7-7. スマートカード証明書選択し、「次へ」
7-8. スマートカード証明書を登録するユーザーを選択する。
7-9. スマートカード証明書を登録するユーザーを選択されていることを確認し、「登録」
7-10. PIN入力のポップアップが表示されたら、Yubikeyに設定したPINを入力し、「OK」
7-11. 登録状態が成功となれば、「閉じる」で作業完了
7-12. ADアクセスユーザー名で、スマートカード証明書が登録されていることを確認する。
8. スマートカード認証設定
8-1. 「Active Directoryユーザーとコンピューター」起動する。
8-2. ADアクセスユーザーを選択し、右クリック>「プロパティ」
【アカウントタブ】で対話型ログオンにはスマートカードが必要にチェックを入れて、作業完了。
9. ADサーバーへ接続
以降、操作なしにログイン出来ることを確認すると、作業完了。