コンテンツにスキップ

二要素認証

ワンタイムパスワードを使用した2要素認証

セキュリティ確保のため、通常のパスワード(Kerberos)に加えて、ワンタイムパスワード(OTP)を使用した2要素認証(2FA)の有効化を推奨しています。

Note

近い将来に2FAは必須となる予定です。

OTPトークン登録方法

前提

お持ちのスマートフォンにGoole Authenticator、Microsoft Authenticator、FreeOTP Authenticator などの多要素認証用アプリをインストールください。

手順

  1. ログインノードへログインします
  2. ログインノード上でkinitコマンドを実行します。パスワード入力を促されるので、パスワードを入力してください
  3. ipa otptoken-addコマンドを実行します
  4. 以下のようにQRコードが表示されますので、QRコードを多要素認証用アプリで読み取ります

OTPトークンを登録すると、直ちに2FAが有効化されます。

2FAログイン方法

ログインノードへログインする方法はこちらをご覧ください。

kinit, kpasswd ラッパー

kinit(/bin/kinit)とkpasswd(/bin/kpasswd)コマンドは、2FAが有効な状態ではコマンド実行に失敗するなどの既知の問題があります。

問題が起きないように処置を施した/usr/local/bin/kinit/usr/local/bin/kpasswdというラッパーをログインノードに用意しています。 通常(フルパスを指定せず)、kinitコマンドを使用している場合はラッパーが使用されるため、特別な対処は不要です。 直接 /bin/kinit/bin/kpasswdを指定してコマンドを実行されている場合は、それぞれ/usr/local/bin/kinit/usr/local/bin/kpasswdへパスを変更してください。

OTPトークン紛失時

OTPトークンを登録した多要素認証用アプリがインストールされているスマートフォンを紛失されたなどでOTPを取得できなくなった時は、 管理者までご連絡ください。

登録されているOTPトークンを削除いたします。 OTPトークン削除によってパスワードのみでログインノードにログイン可能になります。 ログイン後、可能な限りOTPトークンを再登録してください。

© 2024 ICEPP, the University of Tokyo.
Reproduction of the article, figures and tables on this page is allowed as specified in the CC-BY-4.0 license.