二要素認証

ワンタイムパスワードを使用した2要素認証

セキュリティ確保のため、通常のパスワード(Kerberos)に加えて、ワンタイムパスワード(OTP)を使用した2要素認証(2FA)の有効化を推奨しています。

OTPトークン登録方法

前提:

お持ちのスマートフォンにGoole Authenticator、Microsoft Authenticator、FreeOTP Authenticator などの多要素認証用アプリをインストールください。

手順

1. ログインノードへログインします
2. ログインノード上でkinitコマンドを実行します。パスワード入力を促されるので、パスワードを入力してください
3. ipa otptoken-addコマンドを実行します
4. 以下のようにQRコードが表示されますので、QRコードを多要素認証用アプリで読み取ります

OTPトークンを登録すると、直ちに2FAが有効化されます。

2FA有効化でのログイン方法

ログインノードへログインする方法はこちらをご覧ください。

2FAに関する既知の問題

パスワードの入力様式

2FAを有効化した場合、認証時にパスワードとOTPの2つのパスワード入力を要求されます。 コマンドやサービスによって、「パスワードとOTPを2段階で入力するもの」と、「パスワードとOTPを連結した文字列を入力するもの」の二種類が存在します。

典型的なコマンドの例は以下です。

• 分けて入力する例
  • sshログイン
• 連結した文字列を入力する例
  • kinit, kpasswd

kinit コマンドに失敗する

OTPを有効化した状態でkinit(/bin/kinit)コマンドを実行するとGeneric preauthentication failure while getting initial credentialsというメッセージが出力されて、コマンド実行に失敗してしまいます。

ログインノードではこの問題が起きないように処置を施した、/usr/local/bin/kinitというラッパーを用意しています。 通常(フルパスを指定せず)、kinitコマンドを使用している場合はラッパーが使用されるため、特別な対処は不要です。 直接 /bin/kinitを指定してコマンドを実行されている場合は、/usr/local/bin/kinitへパスを変更してください。

OTPトークン紛失時

OTPトークンを登録した多要素認証用アプリがインストールされているスマートフォンを紛失されたなどでOTPを取得できなくなった時は、 管理者までご連絡ください。

登録されているOTPトークンを削除いたします。 OTPトークン削除によってパスワードのみでログインノードにログイン可能になります。 ログイン後、可能な限りOTPトークンを再登録してください。

© 2024 ICEPP, the University of Tokyo.
Reproduction of the article, figures and tables on this page is allowed as specified in the CC-BY-4.0 license.