• ホーム
• アプリの統合
• MFA統合
• CentOS 用 (2FA/MFA)

---

このセットアップガイドでは、設定方法を説明します。 CentOS での SSH 多要素認証 任意のを使用して 15以上のMFA方式 miniOrange のこの機能を有効にすると、CentOS デスクトップ上の SSH サービスのセキュリティが大幅に強化されます。

miniOrangeはCentOSデスクトップログインに多要素認証（2FA/MFA）を提供します アイデンティティの信頼性を高め、リスクと露出を軽減するために、セキュリティをさらに強化します。ユーザーは既存の認証情報（ユーザー名とパスワード）を第一要素のローカル認証として使用し、その後、設定された第二要素の入力を求められます。miniOrangeはオンプレミスのAD（Active Directory）に接続できるため、ユーザーはAD認証情報を使用してCentOSデスクトップに認証できます。miniOrangeの二要素認証（2FA）モジュールは、Linuxオペレーティングシステム（CentOS、Ubuntuなど）にインストールして、セキュリティを強化することができます。 二要素認証（2FA） or 多要素認証（MFA）ソリューション ローカルおよびリモート SSH 認証の上にあります。

SSH およびローカル ログインで CentOS 2FA/MFA を有効にする手順ガイド (2 要素認証/多要素認証)

1. 2FA用のアプリとポリシーの追加

• miniOrangeにログイン 管理コンソール.
• に行く アプリ。 ソフトウェアの制限をクリック アプリケーションを追加



• 選択する デスクトップ from 全てのアプリ ドロップダウン。



• ソフトウェアの制限をクリック Linux / Unix.



• [基本] タブで、次の詳細を入力します。

  基本タブ	詳細説明
  表示名	入力する 表示名 (つまり、このアプリケーションの名前)。
  説明（オプション）	必要に応じて説明を追加します。
  アプリシークレット	以下に示すようにアイコンをクリックすると、App Secret を見つけることができます。




• ソフトウェアの制限をクリック Save 続行するには、自動的に 政策 のセクションから無料でダウンロードできます。



• 以下を行うには、 グループの割り当て ボタン。 新しい グループ割り当てを構成する モーダルが開きます。
  • グループの割り当て: アプリケーションにリンクするグループを選択します。一度に最大20グループまで選択できます。
  
  
  
  • 新しいグループを作成する必要がある場合は、 新しいグループを追加
  • グループ名を入力してクリック グループを作成.
  
  
  
  • ソフトウェアの制限をクリック 次へ.
  • ポリシーの割り当て: 選択したグループに必要なポリシーを追加します。以下の詳細を入力してください。
  • 第一の要因: ドロップダウンからログイン方法を選択します。
  • 選択した場合 パスワード ログイン方法として、 2要素認証（MFA） の三脚と 適応認証、 必要に応じて。
  • 選択した場合 パスワードなし ログイン方法として、 2要素認証（MFA） 必要に応じて。



• ソフトウェアの制限をクリック Save選択したすべてのグループに対してポリシーが作成されます。
• 送信すると、新しく追加されたポリシーがリストに表示されます。

2. 2FAオプションを選択する

• に行く 2要素認証 >> エンドユーザーの2FAオプションを選択する.



• ユーザーに MFA に設定または使用させたくない方法を無効にします。




お願い: 現在miniOrangeは TOTPメソッド (OTP OVER SMS、OTP OVER EMAIL、Google AUTHENTICATOR、MICROSOFT AUTHENTICATOR、AUTHY AUTHENTICATOR、YubiKey HARDWARE TOKEN) Linux MFA 用。

3. SSH認証とCentOSログオン用のminiorange 2FA/MFAプロバイダーを設定する

• miniOrange MFA RPMパッケージを以下からダウンロードしてください。 こちら.
• 次のコマンドを使用して、ダウンロードした RPM ファイルに実行権限を付与します。
chmod a+x miniorange-mfa.rpm




• 次のコマンドを実行して、miniOrange MFA RPM パッケージをインストールします。
sudo rpm -ivh miniorange-mfa.rpm





オプション	詳細説明
- インストール	miniOrange MFAをインストールする
- アンインストール	miniOrange MFAを削除する
- 有効にする	指定されたサービスに対して miniOrange mfa を有効にする
--無効	指定されたサービスに対して miniOrange mfa を無効にする
-e	miniOrangeの設定ファイルを編集する
-d	miniOrangeの設定ファイルを表示する
--enable-pl	指定されたサービスに対してパスワードレス認証を有効にする
--disable-pl	指定されたサービスに対してパスワードレス認証を無効にする
- チェック	miniOrange MFA セットアップのトラブルシューティング チェックを実行する
- テスト	指定されたユーザー名の指定されたサービス（ログイン、sshd、またはsudo）のminiOrange MFAをテストします。
--enable_selinux	SELinux ポリシーで miniOrange MFA を許可する



• 2FA 構成を開始するには、次のコマンドを実行します。
sudo miniorange-mfa --install




• 設定中に、いくつかの詳細を入力するよう求められます。
• クラウドまたはオンプレミスで miniOrange 管理者アカウントにログインします。
• 以下を行うには、 設定 右上のアイコン。



• コピー 顧客キーとAPIキー.



• に移動します アプリ 左側のメニューから「Linuxアプリケーション」セクションを選択し、作成したLinuxアプリケーションの名前をコピーします。 ステップ 1.



• プロンプトが表示されたら、これらの詳細をターミナルに貼り付けて Enter キーを押します。



• SSH ログイン時に MFA を有効にするように求められます。SSH ログイン時に MFA を有効にする場合は、「y」と入力して Enter キーを押します。



• MFA 構成のテスト:
• テスト UI ログイン:
  UI ログイン (GDM) の MFA をテストするには、以下のコマンドを使用します。
miniorange-mfa --test gdm-password <username>




• SSH ログインをテストする:
  SSH ログインの MFA をテストするには、以下のコマンドを使用します。
miniorange-mfa --test sshd <username>




• 問題のトラブルシューティング:
  MFA のテスト中に問題が発生した場合は、以下のコマンドを使用してトラブルシューティングを行ってください。
miniorange-mfa --check




• SELinux ポリシーを有効にする:
  

  SSH ログインが機能しない場合、または設定後に MFA の入力を求められない場合は、SELinux が MFA モジュールをブロックしている可能性があります。

  • 次の方法で問題をトラブルシューティングします。
  miniorange-mfa --check
  
  
  • SELinux ポリシーの問題を修正するには、次のコマンドを使用します。
  miniorange-mfa --enable_selinux
  
  
  
  

4. 多要素ソリューションをテストする

• MFA モジュールが正常に構成されたため、MFA を使用してデスクトップにログインできるようになりました。



• 正しいパスワードを入力すると、OTP の入力を求められます。



• SSH 経由でログインする場合、パスワード認証が成功すると MFA が求められます。



• miniOrange MFA コマンドのマニュアルにアクセスするには、次のコマンドを使用します。
man miniorange-mfa

6. ユーザーディレクトリを構成する（オプション）

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

• miniOrangeをIDPとして設定する
• ADをユーザーディレクトリとして設定する
• 外部IDPの設定

• miniOrange にユーザーを追加するには、次の 2 つの方法があります。
• miniOrangeでユーザーを作成する
• ユーザーの一括アップロード

1. miniOrangeでユーザーを作成する

• ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.



• ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成



• ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。



• ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply



• さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
• 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン（SSO）パスワードのリセット



• これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

• MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する



• 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。



• ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。



• csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
• そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

• ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニュー



• IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。



• 次に検索 AD/LDAP それをクリックします。



• MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
• LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。




• AD/LDAPを入力する 表示名 の三脚と 識別する 名前。
• 選択する ディレクトリの種類 as Active Directory.
• LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
• 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.



• Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング（ユーザーまたはグループの作成、更新、削除など）を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。



• 有効なバインド アカウント パスワードを入力します。
• 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。



• 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。



• ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。



• 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
• ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。




以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

属性	詳細説明
LDAPをアクティブ化する	有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
フォールバック認証	LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
管理者ログインを有効にする	これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
ユーザーにIdPを表示する	このオプションを有効にすると、このIdPはユーザーに表示されます
miniOrangeでユーザーを同期する	LDAP認証後、miniOrangeにユーザーが作成されます。



• 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

• デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

  SP に送信される属性名 = 組織
  IDPからの属性名 = 会社






• 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

• プロビジョニングを設定する場合は、 こちらをクリックしてください。 詳細については、こちらをご覧ください。この手順はここでは省略します。

接続のテスト

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.



• LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。



• On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。

テスト属性マッピング

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.



• ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.



• テスト属性マッピング結果が表示されます。

AD を外部ディレクトリとしてセットアップする構成が完了しました。

注意： 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

miniOrange は、ディレクトリ、ID プロバイダーなどのさまざまな外部ユーザー ソースと統合されます。

• ADFS
• ピン
• AWSコグニート
• さらに多くの

IdP が見つからない、または設定にサポートが必要ですか?

お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

よくある質問（FAQ）

さらなる参考文献

• 多要素認証 (2FA/MFA) とは何ですか?
• Windows ログオンと RDP の MFA を設定する
• SSH認証用のLinux MFAを設定する
• ローカルログインSSH認証用にUbuntu MFAを設定する
• RD ゲートウェイの MFA を設定する
• アダプティブ認証とアダプティブ MFA とは何ですか?