RDゲートウェイとしてSPSを使用し、リモートワークのセキュリティ強化

特権IDセッション管理アプライアンス”Safeguard for Privileged Sessions(SPS)”は、リモートデスクトップゲートウェイ(RDゲートウェイ)として動作させることが可能です。

RDゲートウェイとは、インターネットに接続された任意のデバイスから内部あるいはプライベートネットワーク上に配置されたリソースに、認証されたリモートユーザーが接続できるようにするリモートデスクトップの役割サービスです。

RDゲートウェイを利用する主な利点

RDゲートウェイを利用する主な利点は、次の通りです。
① 転送メカニズムとしてHTTPS(ポート443)を使用
 通常、RDP接続に使用されるポートは3389ですが、セキュリティ上の理由によりブロックされている場合が多いです。HTTPSを使用することで、クライアントからサーバーへのトラフィックを、ファイアウォールを越えてトンネリングして接続します。
② 仮想プライベートネットワーク(VPN)接続の構成が不要
 インターネット経由で、社内のネットワークリソースに簡単にアクセスできます。VPN接続を構成する必要はありません。さらに、HTTPSを使用しているので、暗号化されたセキュアな接続を保証します。
③ ネットワークリソースのアクセス制御が可能
 リモートユーザーに、社内ネットワークリソースごとのアクセス権限を設定できます。ユーザーはすべてのネットワークリソースへのアクセス許可を得るのではなく、権限に応じて必要なリソースへのRDP接続のみを確立します。
④ 二段階認証が可能
 RDゲートウェイで認証後に、ネットワークリソースへの認証を二段階でおこなうことが可能です。特権が付与された共有アカウントを使用しても、任意のユーザー名で一次認証させることで、誰が接続したかを可視化できます。

以下では、SPSを使用したRDゲートウェイの設定手順、および実際にRDP接続した際の動作について説明します。

SPSを使用したRDゲートウェイの設定手順

ローカルユーザーデータベースの作成

RDゲートウェイ認証用のローカルユーザーデータベースを作成します。ローカルユーザーデータベースの作成については、過去記事「SSHリモートアクセスのゲートウェイ認証」も合わせて参照してください。

SPSのWebインターフェースにて、[Policies]>[Local User Databases]に移動し、[+]をクリックして新しいローカルユーザーを作成します。SPSでローカル認証するユーザー名およびパスワードなど入力して[Commit]をクリックします。

※本ブログでは、SPSのローカルユーザーでの認証を説明していますが、Active DirectoryやLDAPなどと連携してユーザー認証することもできます。

ユーザーマッピングポリシーの作成

ユーザーマッピングポリシーを作成します。これは、ゲートウェイ認証時のユーザーとターゲットサーバーにアクセスするためのユーザーが異なる場合に必要です。
(例)ゲートウェイ認証:yamada(任意のユーザー)
   ターゲットサーバーでの認証:Administrator(共有アカウント)

SPSのWebインターフェースにて、[Policies]>[Usermapping Policies]に移動し、[+]をクリックしてユーザーマッピングポリシーを作成します。ここでは、ターゲットサーバー上で任意のユーザー名を許可するのに’*'(アスタリスク)を指定しています。

SPSの自己署名証明書の生成とダウンロード

SPSのWebインターフェースにて、[Policies]>[Signing CAs]に移動し、[+]をクリックして新しいローカルCAを作成します。[Type of Signing CA]で[Local]を選択し、必要なフィールドを入力して、[Generate private key & certificate]をクリックします。[Commit]をクリックします。

ローカルCA証明書をダウンロードします。[CA X.509 certificate]フィールドの横のDNをクリックします。 証明書ウィンドウが表示されるので、[Download]フィールドで証明書をダウンロードする形式をクリックします。

SPSの自己署名証明書のインポート

クライアント端末で”ファイル名を指定して実行”でcertmgr.mscと入力して、証明書マネージャーを開きます。

[信頼されたルート証明機関]>[証明書]を選択して、右クリックしてコンテキストメニューから[すべてのタスク]>[インポート]を選択します。

証明書のインポートウィザードが開きますので、[次へ]をクリックします。

上述でダウンロードしたSPSのローカルCA証明書を選択して、[次へ]をクリックします。

証明書の場所を確認して、[次へ]をクリックします。

確認画面が表示されるので、[完了]をクリックします。

インストールの確認に[はい]をクリックします。

証明書が正しくインストールされると、以下のメッセージが表示されます。

証明書のリストに、SPSのローカルCAがリストされます。

(注)クライアント端末にSPSのサーバー証明書が発行したローカルCAがインストールされていないと、RDP接続時に以下のエラーが発生します。

これは、SPSから提示されたサーバー証明書の発行者(ここでは、jtc-i)が信頼されていなため、その発行者が発行したサーバー証明書も信頼できず、クライアントは接続を拒否するためです。

SPSのエイリアスIPの設定

SPSにエイリアスIPを設定します。リモートデスクトップゲートウェイサーバープロトコルは443を使用しますが、SPSのWebインターフェースも同じ443を使用します。このため、SPSのWebインターフェースと異なるエイリアスIPアドレスで、リモートデスクトップ接続させるためです。

SPSのWebインターフェースにて、[Basic Settings]>[Network]に移動し、[Address]フィールドの[+]をクリックして、SPSのWebインターフェースへのアクセスに使用しているIPアドレスと異なるエイリアスIPアドレスを設定します。下図の例では、SPSのWebインターフェースを192.168.91.169、RDゲートウェイ接続に192.168.91.170(エイリアスIPアドレス)を設定しています。

接続ポリシーの設定

リモートデスクトップゲートウェイとして接続できるように、接続ポリシーを設定します。

SPSのWebインターフェースにて、[RDP Control]>[Connections]に移動し、[+]をクリックして新しい接続ポリシーを作成します。

[To]フィールドにRDゲートウェイ接続を受け付けるIPアドレス(上述で設定したエイリアスIPアドレス)、および[Port]フィールドに443を入力します。
[Targets]フィールドに、ターゲットサーバーのサブネットおよび[Port]フィールドにRDP接続用の3389を入力します。

[Act as a Remote Desktop Gateway]を有効にします。

[Gateway certificate]セクションで[Generate certificate on-the-fly]にチェックし、[Signing CA]に上述で設定したローカルCAを選択し、[Custom Common Name]フィールドに”sps600t1.2016dom.local”を入力します。これは、SPSで生成されたサーバー証明書のコモンネーム(CN)に使用されます。

[Authentication backend]セクションで、[Local User Database]にチェックし、[Domain]フィールドに”2016dom.local”、[Local User Database]に上述で設定したローカルユーザーデータベースを設定します。

[RDP settings]に、ネットワークレベル認証(NLA)を有効にしたRDP設定を適用し、[Usermapping policy]に上述で設定したユーザーマッピングポリシーを適用します。

[Custom Common Name]フィールドに設定した”sps600t1.2016dom.local”にアクセスできるように、クライアント端末のhostsファイルに以下の行を追加します。

この[Custom Common Name]フィールドに設定したコモンネームと、RDPクライアントで設定するRDサーバー名は同じにする必要があります。

例えば、RDゲートウェイサーバー名にIPアドレスを直接入力して接続すると、サーバー証明書の発行先名(“sps600t1.2016dom.local”)とRDPクライアントで設定したRDゲートウェイサーバー名が異なるため、クラインとは接続を拒否します。

RDPクライアントからRDゲートウェイ接続

リモートデスクトップ接続クライアントを開きます。
オプションを表示し、[詳細設定]タブの[設定]をクリックします。”次のRDゲートウェイサーバー設定を使用する”にチェックし、サーバー名に”sps600t1.2016dom.local”を入力し、ログオン方法は”パスワードを要求する”にします。
”ローカルアドレスににはRDゲートウェイサーバーを使用しない”などのチェックは無効にします。

[全般]タブで、[コンピューター]に接続先のサーバーのホスト名またはIPアドレスを入力(ここでは、192.168.91.46)し、ユーザー名に接続先サーバーにアクセスするユーザー名を入力します。[接続]をクリックします。

RDゲートウェイサーバーで認証するユーザー名とパスワードを入力します。

証明書の確認に[はい]をクリックします。

SPSのRDPログイン画面が表示されます。サーバーのユーザー名を確認し、パスワードを入力して[OK]をクリックします。

再度、証明書の確認ウィンドウが表示されるので、[はい]をクリックします。

SPSのWebインターフェースの[Active Connections]ページで、ゲートウェイユーザーとターゲットサーバーのアクセスユーザーを確認できます。
 ゲートウェイユーザー(USER):yamada
 ターゲットサーバーのアクセスユーザー(REMOTE USER):Administrator

同様に[Search]ページで、ゲートウェイユーザーとターゲットサーバーのアクセスユーザーを確認できます。

(エラーの例)
ユーザーマッピングポリシーで許可されたリモートユーザーと異なるリモートユーザーでアクセスした場合、以下のエラーが発生します

SPSのRDPログイン画面で不正なパスワードでアクセスすると、以下のエラーが表示され接続が終了します。

ゲートウェイ認証時に、不正なパスワードあるいは存在しないユーザー名でアクセスすると、以下のエラーが表示されます。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP