さっそく使ってみた
実は、インストールはさくっとできました。少々拍子抜け。
とはいえ、自分はドメインコントローラーを立てるだけならちょろっと、晩飯前後でやってしまうタイプ。
Hyper-V上にWindows Serverをセットアップして~、Windows Update流している間に風呂でも入ってくるかな~で、出てきて髪乾かしながらマシン名変えたりPageファイル設定したり~、ADDSのセットアップ流したらその時間でレンチンして、ごはん食べながら昇格してDNS設定して…ってな感じ。
今回はすでに作ったADと試せるWindows 10 Proマシンがあった(古いの引っ張りだしてきたのだけれど)のですぐでした。
ちなみに、これの前の話はこちら。
多要素認証・二要素認証 DigitalPersona ADを試す(1)
評価版借りてもそこまでできないな~という人は、とりあえず、相談してみたら? とは思います。
セットアップ自体はマニュアル見ればできましたが、質問したことは丁寧に教えてくれました。
以下の DigitalPersona AD の紹介ページから「お問い合わせ」を辿ってください。
使ってみた感じ
実際に使う場面では、普通に Windows のログイン画面に見えるものが出ます。
とりあえず、ICカードを置いてみました。
Felica ならなんでもいけそうなので、試しに Suica を使っています。
(登録とかの画面は後で載せます。)
パスワード入力をすればログインできそうです。
もちろん、ICカードだから一発で(一瞬で)認識してくれました。そりゃ当たり前か。
ICカードと指紋の二要素で認証してみよう…と指を置いてみました。
おお~。これも一発、一瞬で認証!
指を滑らせるタイプでないのはありがたいですね。実は、登録した時と違う向きで指を置いたのですが、認証したのはちょっとびっくり。
でも、ログインできません… え?
下の画面では、パスワードを入力しています。
よく見ると、ICカードのマークと指紋のマークのところにチェックがはいっているので、ICカードも指紋も、どちらも認証した、ということがわかります。
その他の「サインイン オプション」は、自分が登録して選んだ気がします。
さっきやったのに忘れてんのかよって突っ込まれそうですが。
初めてだし、評価だし。
それなので、画面のようにパスワードを入力してみました。
おお~、ログインできた~
というわけで、ドメインコントローラーに接続して設定を見て見ました。
ありゃ…
パスワードと指紋、パスワードとICカードのログイン方法の設定しかしていないので、指紋+ICカードというわけにはいきませんね。
次は設定を変えて試してみます。
これもあとで書きますが、設定はActive Directory の GPO で行うというのが、非常にセンセーショナル。
指紋やICカードの情報はActive Directoryのスキーマーの中に保持されるそうです。
これも後で書きますが、「ユーザーとコンピューター」で表示されるユーザーの情報の中に持つということでしょう。
インストール時にスキーマーの拡張をしています。
そして設定はGPOです。
つまり、ドメインコントローラーを使うので別のサーバーを用意する必要がない点や、設定が Active Directory に統合されているので容易でもあるし、サーバー入れ替えの際でも移行を意識しなくていい、つまり、FSMOを移行すればそのまま持って行ってくれるし、サーバーの追加ならソフトウェアと管理ツールのインストールだけでいいということのようです。
保守管理する情シスやベンダーからしたら、とても助かります。
きっと、お金払う人や偉い人は評価してくれないでしょうけど(笑)
ピンバック: 多要素認証・二要素認証 DigitalPersona ADを試す(1) – 湘南藤沢.ネット