AWSに構築したSoftEtherでActiveDirectory認証を用いてVPN接続する

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

皆さん、お寿司は好きですか?
私は大好きです。ですが、幸か不幸か出身が北の大地なので、まぁ美味い海産物には恵まれていたんです。そのおかげで、自分の寒い懐事情で気軽に行ける回転寿司にはあまり興味はなく、かといって回転しないお店にはなかなか足を踏み入れることもできず早数年…ところが、今年になって毎月のようにお寿司屋さんに通うようになってしまいました。
そのお店がこちらです。

「立ち寿司横丁 新宿西口」(せんべろnet

立ちだと半額になるサワーの中で、がりサワー190円がお気に入りです。がりの甘酢の甘さがよく合うのと、がりをそのままお箸で食べるとおツマミにもなるのです。
お寿司は…海産物はあまり頼まず、わさび巻き、アボカドあたりを適当につまんでお会計すると数百円といったところです。お手軽ですねー。
結局、お寿司食べてないんだけど。

さて、今日はいつも使っているフリーのSoftEtherでActiveDirectory認証をテストしてみたいと思います。

AD認証するならSoftEtherサーバはWindowsOS

SoftEtherのWebマニュアルに記載がありますが、ActiveDirectory認証を行うためにはサーバー自体がActiveDirectory環境のメンバーサーバになっている必要があります。そのため、AWSなどに構築する場合には、通常のLinuxではなくWindowsServerを構築する必要があります。

EC2のインスタンスの作成から「コミュニティAMI」を選択し、「2016 base jap」と検索すると、WindowsServer2016 日本語版のSQLなしが素早く検索できます。「Provided by Amazon」と記載されているものを選びましょう。

ActiveDirectoryを構築する

当然、ActiveDirectory環境がないとAD認証の検証にならないので、検証用ドメインを作成します。

まずはサーバーマネージャーからADDS機能のインストール。

インストールが完了したらドメインコントローラーへ昇格させます。

次に適当なドメイン名を入れて再起動すればドメイン環境の出来上がりです。

次に、SoftEtherサーバーをドメインに参加させて、メンバーサーバへします。

出来ました。

この状態でSoftEtherServerをインストールし、通常通り設定を行い、ユーザー設定で以下のように設定します。
ユーザー名:「*」(半角※印)
認証方法:「NTドメイン認証」

パスワードの設定などは不要です。この状態で「OK」を押して登録します。
すると、ドメインのユーザーを登録すると、ドメインのユーザー全員でVPN接続を認証することが可能です。

接続を許可するユーザーを絞りたい場合には、名前「*」ユーザーを削除し、許可したいユーザー名をすべて登録しますが、その際に認証方法を「NTドメイン認証」に設定しておけばOKです。

クライアント側の設定は?

クライアント側の設定もSoftEtherのWebマニュアルに記載がありますが、許可するプロトコルは以下の通り「暗号化されていないパスワード」のみで接続可能でした。

以上、非常に簡単ではありますが、SoftEtherのActiveDirectory認証の設定方法は完了です。

[番外編]ActiveDirectory認証と証明書認証の複合認証は?

結論から言うとできませんでした。
設定画面を見れば一目瞭然ですが、認証方式の選択時に「固有証明書認証」「署名済み証明書認証」「NTドメイン認証」のどれかを選択する形になっていますので、複数選択もできませんし、「NTドメイン認証」を選択したうえで証明書を指定することもできませんでした。
もし、ActiveDirectory認証でさらにセキュリティを高めたい場合には、PSK(事前共有鍵)の強度を高めるという方法もあります。
試してみたところ、WindowsのL2TP接続では255桁まで有効でした。

以上、SoftEtherの認証をいろいろ試してみました!

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください