DigitalPersona AD の驚きの(良いと感じた)点
これの続きです。3つめ。
評価版を借りた話と、生体認証などの認証に関する個人的印象
多要素認証・二要素認証 DigitalPersona ADを試す(1)
指紋+パスワード、ICカード+パスワードを使ったログインのところ。
多要素認証・二要素認証 DigitalPersona ADを試す(2)
製品は、以下の DigitalPersona AD です。
問い合わせがある方や、評価版を借りてみたいという方は「お問い合わせ」を辿ってください。(自分はそこからコンタクトを取りました。製品を扱っているヒューマンテクノロジーズの人が対応してくれます。)
前置きはいいとして、驚いた点というのか、そこに一番興味があったから評価を申し込んだというポイントは、システム用(DigitalPersona ADを動かすための)のサーバーが要らないという点。
正確な表現ではないので、箇条書きしてみるとこんな感じです。(自分の理解が正しければ。)
- DigitalPersona AD の機能は Windows Active Directory と一体になって動く
- サーバー側ソフトウェアはドメインコントローラーにインストールする(専用のサーバーが要らない)
- 認証の情報も、 Windows Active Directory に持っている(スキーマーを拡張してそこに格納している)
- 動作の設定は Windows Active Directory の GPO で行い、グループポリシーエディタ を使う
前回載せた画面が GPO のところです。
このシステムのためのサーバーが要らないのです。他システムではユーザーの管理が別建てになり、新入社員のユーザーを作るのも認証のシステムとADで二度手間(連携がある製品もあるけれど)だったりするものもあるのに。サーバー自体の管理(ハード費用、OS費用含めて)が要らないという点も、システムを運用する立場からしたらかなりの負担軽減です。
さらに、ドメインコントローラーの老朽化(たいてい5~6年で更新)で新しいドメインコントローラーに作り替える際にも、今のドメインにドメインコントローラーに追加したいという場合でも、サーバー系ソフトウェアのインストールさえすれば設定は不要。認証情報もADのレプリケート機能で勝手に移行されます。FSMOを引っ越せばそのまま移動が可能。
システム更新時に移行作業が不要というのは経験がありません。
システム更新の時には細かな手順書を作って、時にはリハーサルもして、正しく移行できるかひやひやするものですが、DigitalPersona AD なら何もしなくても引き継がれるのだから更新作業時の負担もかなり減ります。
インストールの一番最初にスキーマーの拡張と、続けて DigitalPersona AD の設定を流しましたが、これは一度やってしまえばあとは不要なので、DigitalPersona AD 本体のインストールをすれば使えます。ドメインコントローラーに入れる管理ツールは、管理に使いたいサーバーにだけ入れればいいと聞きましたが、全部に入れちゃったほうが気楽でしょうね。スキーマー拡張ももらった手順の通りにファイルをクリックすれば一本道、AD 設定も同様にクリック一発で一本道です。(確認ダイアログはでましたよ(笑))
バックアップも要らないのです。要らないは語弊があるかもしれません。ドメインコントローラーのバックアップがとられていれば一緒に戻せます。通常時ではActive Directoryの機能のレプリケーションで他のサーバーでも同様な情報を持ち、Windowsの設定(クライアントのDNSの設定)により認証も冗長化が図れます。
- 使用するパソコン側には Workstation のソフトを入れる必要があります
- スキーマー拡張はトラブルの例はないらしいですが、拡張してしまうと戻せません。正確には、バックアップを取っておけば、バックアップ時点に戻せますが、たぶん面倒です。全ドメインコントローラーのバックアップを取っておいて、FSMOのマシンでは「権威あるリストア」をしなければいけないのではないかと思います
- スキーマーの拡張自体はMicrosoftも承認しているものだそうで、将来、DigitalPersona ADを使わなくなっても「消せはしないけれど、問題を起こすものではない」と聞きました
- さすがに「お試し」で本番環境のスキーマーを拡張してしまうわけにはいかないので評価環境を用意しました
- 自分は試していませんが、別サーバーを用意する代わりにスキーマー拡張をしなくてよい LDF 版というものもあるようです
DigitalPersona AD の GPO での設定
GPOも何か特別なものがあるわけではありません。新しいポリシーを適用するという、今までと同じ手順をすると、「なんということでしょう! 項目が増えています~。」
(適用してみた画面)
GPOの中身も、特に困るようなことはなく、項目が並んでいます。
どれがどれだかわからないと思うほど細かく大量に並んでいる…わけではないです。
ここの、どれをどう設定するとどう動くのかはマニュアルにあるのかどうかまだ確認していませんが、直感的に認証のところを設定して使ってみたら使えたので、『評価』はできそうです。もし、導入が決まったら、構築時のことは先で考えることにします。
Active Directory と一体化してる… ユーザーで確認
ADの「ユーザーとコンピューター」で、登録しているテストに使うユーザーを見てみました。
この「ユーザーとコンピューター」もWindowsの管理ツールで、それが拡張されているようです。
( DigitalPersona のタブがあります。)
ここで「属性エディター」を見ると、その中に dp で始まっている項目があります。
これがスキーマー拡張によって追加された部分だそうです。どれが何の項目かはわかりません。
ここに表示されているかされていないかわかりませんが、このように拡張された領域に指紋の情報も登録されているので、別のサーバーを用意しなくても利用ができて、AD移行の際も気にしなくてよいということなのですが…
やはり、気になりませんか? ドメインコントローラーがクラックされたり、盗まれたら指紋の情報を悪用されてしまわないか!
そこは安全だと説明を受けています。DigitalPersona ADの指紋認証に利用する指紋の情報は(詳細は聞いていませんが、とりあえず今回貸してもらったリーダーを使っているのなら)、特徴点という指紋の特徴的な個所の位置情報を抽出した情報を利用しているので、指紋の写真とか指紋そのものの絵柄は扱っていません。特徴的な点だけなので、保存している情報は非可逆的なもので、保存された情報から指紋を復元は不可能、推測すらも無理でしょう。
登録時も、照合時も、リーダーが写した指紋を特徴点に加工する処理はクライアントで処理しているので、サーバーに送られるわけではないから、サーバーのテンポラリなどを探られようが、ネットワークをスニファされようが指紋の情報はでない(と聞いている)ので、そこの懸念もいらないです。
ちなみに、DigitalPersona ADに関する設定を入れたGPOがかからないところにいる管理者ユーザー(Domain Admins)については指紋などの認証情報を追加で登録する気はなく、メインテナンス用に使いたいので「指紋+Windowsパスワード」か「ICカード+Windowsパスワード」を要求するようなことがないようにしたいと思いました。
パソコンのトライブルの時は、そのユーザーの席に行って操作することが想定されますが(リモート接続でも同様)、その際に作業に行った人が二要素認証を使ってログインしたとして、管理者で作業するのはどうするのか、という話。
runas を使う手は思いつくものの、個人ユーザーに管理者権限をつける運用はしたくなりので、やはり、メンテ用の管理者ユーザーを使ってログインしたいです。しかし、管理用(のDomain Admins)のユーザーに個人の指紋を紐づけるのも避けたいところ。
これを聞いてみたら、例外的に Windows パスワードだけでログインする設定ができるそうです。
目的は達成できそうです。
とはいえ、端末すべて二要素認証で縛りますというポリシーからは外れてしまい、トレードオフはあります。
トレードオフと言えば
指紋の認証は自分が経験した他のものよりも早いと思います。1回で読み込んでくれることがほとんどでストレスは少ないです。
機能的にも求めているものはあると思うのと、なにより、ADと一体化しているという説明でいいのかわかりませんが、これなら運用や更新の時の負担はぐっと減るなと感じています。これは実際に利用する人というより、管理している部門にとっては膨大なメリットだと思います。
しかし…
その「管理が楽になります」というメリットを、会社という組織が正しく評価してくれるのかは疑問です。
管理部門の人に対して「お前が楽したいだけだろ?」なんて言い出す上司・部門長・社長など。
製品とこの指紋リーダーと、お値段も気にはなります。
応談、ボリュームディスカウントもあるとは聞いていますが、まだ具体的に話にもなっておらずリストプライスでの話だとお高く感じている自分もいます。「いい製品だから高くていい」とは、上司や会社は言ってくれませんから。単純に他の製品と価格だけで比べてしまうと…という話。
でも、ほかの製品と比べたときに条件が悪いというだけ。
- 専用サーバーが要らない点で、そのサーバーのハードとOSだけでも1台100万程度は変わるはず
- 認証のサーバーだから冗長性は必要、だとしたらサーバー2台分とか、サイトを複数持っているところならもっと多くの認証用サーバーの費用が浮く
- 専用サーバーならバックアップが必須なので、バックアップの検討やバックアップのリソースが減る
- 人事異動、組織改正などの場面での作業が大幅に減る
ハード、ソフトは、導入までに必要はすべてで比較してみればトータルコストとしては高くならないのではないかと思ったりもします。そして運用考えるとさらにコストの低減ができるでしょう。
そのあたりの説得をどうするか考えてみたいです。