はじめに
前回の記事、インターネットへの接続をHTTP Proxy経由のみに制限されているWindowsサーバーに多要素認証を組み込む のようにネットワーク接続に制限がある場合などは、Windowsサーバーがインターネットに接続できない場合についての考慮も大事です。
インターネットに接続できないことで多要素認証ができなくなり、Windowsサーバーにログインできなくなってしまうと困ります。
今回は、何らかの障害や設定ミスにより、HTTP Proxy経由での接続ができなくなってしまった場合の回避策を検討します。
いくつかの利用できそうなパラメータ
このような問題に対する回避策に使えそうないくつかのパラメータが、マニュアル Config.jsonに記載されています。
- failmode-insecure
- no-mfa-account
- rdp-only
- disable-builtin-password-logon
failmode-insecure
trueに設定すると、Gateway for Windows Login が IBM Security Verify に接続ができない場合の動作が変わります。ユーザーがWindowsのIDとパスワードを入力後、IBM Security Verifyへの接続を試します。
接続できない場合には多要素認証を実施せず、そのままWindowsにログインをします。IBM Security Verify に接続できない場合は、多要素認証なしでログインができます。
no-mfa-account
多要素認証を必要としない、専用のユーザーを作成します。この専用のユーザーであれば、多要素認証を必要とせずにログインができます。
多要素認証を必要とするユーザーはWindowsへのログインができません。
マニュアルにも記載がありますが、このユーザーにはRDP接続を許可しないなどWindowsでの設定も合わせて実施すると良いです。
通常時であっても、このユーザーは多要素認証なしでログインができる点に注意が必要です。
rdp-only
リモート・デスクトップ・ログインでのみGateway for Windows Login による多要素認証を行う設定です。
ローカル・デスクトップ・ログオンをすればログインが可能です。
IBM Security Verifyに接続できない場合は、多要素認証ができないため、リモート・デスクトップ・ログインでのログインができません。
この設定は、ネットワーク障害時に限らず、通常時であっても、ローカル・デスクトップ・ログオンでは多要素認証なしでログインができる点に注意が必要です。
disable-builtin-password-logon
falseに設定すると、ログインの際の「サインイン オプション」を変更することで、多要素認証なしでログインができるようになります。(デフォルト値はfalseです)
通常時であっても、サインイン オプションを変更することで、多要素認証なしでログインができる点に注意が必要です。
最後に
IBM Security Verifyに接続できない場合のGateway for Windowsの動作を変更するいくつかのパラメータを確認しました。これらの設定は多要素認証をせずにログインができるような設定です。どの条件であれば多要素認証なしのログインを許容できるかに合わせて、適切なパラメータを選択することができます。