マニュアル

GAUTHLOGON マニュアル
導入手順・操作
Ver. 1.0.10
有限会社リビッグ
横浜市港南区上⼤岡⻄ 1-12-2-801
http://www.ribig.co.jp/gauthlogon
tel: 045-843-7122 Fax: 045-843-7142
1
目次
導入手順 ..................................................................................................................................................................... 2
インストール要件
インストール要件.............................................................................................................................................. 2
ライセンスファイル .............................................................................................................................................. 3
インストール............................................................................................................................................................ 4
GAuthLogon の配布ファイル
配布ファイル ................................................................................................................ 4
インストール開始
インストール開始.............................................................................................................................................. 4
ログイン ..................................................................................................................................................................... 8
ロック解除 ............................................................................................................................................................. 12
Authenticator キーの生成と保存 ............................................................................................................... 14
GAuthLogon 以外のプロバイダの無効化 .............................................................................................. 17
セーフモードで GAuthLogon の有効化 ............................................................................................ 19
リモートデスクトップ ...................................................................................................................................... 20
[高度
高度]ネットワークレベル
高度ネットワークレベル認証
ネットワークレベル認証の
認証の無効化
無効化 ............................................................................................ 21
Windows 標準の PasswordProvider によるユーザ名/パスワード入力 ............................................ 22
GAuthLogon のアンインストール ............................................................................................................. 23
GAuthLogon の更新 ......................................................................................................................................... 23
ライセンスファイルのインストール .......................................................................................................... 24
ライセンスファイル設定の手順 ............................................................................................................... 24
付録 1 ....................................................................................................................................................................... 26
2
導入手順
GAuthLogon は Google Authenticator を利用する Windows Vista 以降の Windows
( Windows Vista/7/8.x/10 及び Windows 2008/2012 Server) 対応の２因子認証ロ
グオンソフトウェアです。
GAuthLogon で Windows にログオンするにはユーザ名・パスワード認証に加え、
Android/iOS などで動作する Google Authenticator の認証コード（ワンタイムパスワ
ード）による認証が必要になります。
GAuthLogon をインストールした Windows にリモート接続でログインするときにも、正
しく設定することで、サーバ側で認証コードによる認証を求めることができるようになり
ます。GAuthLogon 導入でサーバへのログインセキュリティを強化できます。
インストール要件
インストール要件
A. GAuthLogon のインストールは簡単ですが、システム設定に変更を加えるため、導入
には管理者ユーザ権限が必要です。
B. Google Authenticator アプリが Android/iOS デバイスにインストールされていな
ければなりません。インストール前に準備してください。
C. GAuthLogon をインストールするコンピュータの時間と Google Authenticator アプ
リが動作するデバイスの時間は正確でなければなりません（数分以上ずれているとワ
ンタイムパスワードは無効になります）
。スマートフォンはインターネット時刻と同期
します。コンピュータの時間設定は付録１をご参照ください。
QR コード
libqrencode ライブラリで QR コードのビットマップデータを生成しています。
http://fukuchi.org/works/qrencode/index.html.ja
3
ライセンスファイル
GAuthLogon はライセンスファイルが存在しないと評価版として動作します。評価版は起
動時やログイン時に“評価版“ウィンドウが表示されたり、本来ランダムな値が生成される
べき処理に固定の値が生成されたりします。ダウンロードパッケージにはライセンスファ
イルは付属しません。
ライセンスファイルを取得するには、インストール後にパッケージに含まれる hwid.exe
を実行して、実行したコンピュータを識別するハードウェア ID を生成します。同時にライ
センス発行 Web ページを開くかどうか尋ねてきます。
ライセンス発行 Web ページ: https://www.ribig.co.jp/gauthlogon/license/
ライセンス発行ページでハードウェア ID を入力してライセンスファイルを発行します。
ただし、ライセンスを発行するにはライセンス発行権限が付与されたアカウントが必要で
す。アカウントはライセンス発行サイトで作成できます。アカウント作成時に必要分のライ
センスを購入すると自動でアカウントが作成され、支払い完了後すぐにライセンス発行が
可能になります。支払いにはペイパル( Paypal ) アカウントが必要です。
取得したライセンスファイルの設置場所:
Program Files¥RiBiG¥GAuthLogon フォル
ダ( GAuthLogon.DLL と同じフォルダ)に license.txt として置いてください。
4
インストール
GAuthLogon の配布ファイル
配布ファイル
クライアント OS 用 ( client.zip )とサーバ OS 用( server.zip )に別れています。
クライアント OS 用は Win7 と Win8 と別れています。また、Win7 と Win8 は 32 ビ
ット対応版と 64 ビット対応版があります。Win7 は Windows Vista/7 対応です。Win8
は Windows 8.x 対応です。
クライアント OS 用( client.zip )
Auto-setup.exe
Hwid.exe
フォルダ
Win7
Windows Vista / 7
X86
32 ビット
X64
64 ビット
Wn8
Windows 8.X / Windows 10
X86
32 ビット
X64
64 ビット
サーバ OS 用は Windows 2008 対応版と Windows 2012 対応版があります。
Windows2012 用は 64 ビット版のみです。
サーバ OS 用 ( server.zip )
Auto-setup.exe
Hwid.exe
フォルダ
Win2008
Windows 2008 Server
X86
32 ビット
X64
64 ビット
Win2012
Windows 2012 Server
インストール開始
インストール開始
配布ファイルの Auto-setup.exe を実行してください。OS と一致する Setup.exe を実
行します。または、インストールする OS 用のフォルダ内の Setup.exe を実行してくだ
5
さい。インストールは数秒で完了します。
[OK]ボタンをクリックすると、Google Authenticator に登録する Authenticator キーを
生成するプログラムが起動します。
6
ここで Authenticator キーを生成して Authenticator への登録とコンピュータへの保
存を行います。Authenticator キーを Authenticator へ登録しなかったり、コンピュータ
に保存しなかったりすると GAuthLogon でログオンすることはできません。
[生成]ボタンを押すと、Authenticator キーが生成され QR コードが表示されます。
ユーザ名に全角文字が使われていると Authenticator は QR コードを正しく読み取れませ
ん。QR コードの下のテキストボックスの全角文字を半角文字に変更してください（詳細は
14 ページをご参照ください）
。
7
Authenticator で QR コードを読みとるか、表示されているキーを手入力するかして
Authenticator に登録してください。読み取り後、QR コードを表示しているウィンドウを
[x]で閉じてください。
自動生成したキーを保存する前に 32 桁以上の回復コードを設定できます。必須ではありま
せん。回復コードは、認証デバイスを紛失するなどしてワンタイムパスワードを取得できな
くなった場合、ワンタイムパスワードの代わりに利用するコードです。設定した回復コード
は認証デバイスがなくなった場合、残された最後のログインするためのコードになります。
安全な場所に保管するようにしてください。
[保存]ボタンで自動生成キー（と回復コード）をコンピュータに保存します。
OK で閉じてから、[X]でプログラムを終了してください。
以上で setup.exe を実行したユーザの設定は完了します。しかし、まだ他のユーザ用には
設定されていません。他のユーザは各自それぞれログイン後に AddToken.exe ユーティ
リティで Authenticator キーの生成と保存を行わなければなりません。
導入直後の何回かは Authenticator キーが保存されていなくても Authenticator を使わ
ずにログインできます。しかし、上限回数を超えるとログインできなくなります。できるだ
け早急に、キーを生成し、保存するよう伝えてください。
8
ログイン
インストールされていることを確認するために、ログオフしてください。ログインタイルを
選択して、[サインインオプション]をクリックすると GAuthLogon のアイコンが表示さ
れるはずです。
Windows 8.x / 2012
Window Vista/7/2008
9
GAuthLogon を選択して、ユーザのパスワードを入力してください。パスワードが正しけ
れば、Authenticator に表示される認証コードを入力する画面になります。コンピュータの
利用環境によっては、コード入力画面が表示されるまで間が空くことがあります。
Windows 8.x / 2012
10
Window Vista/7/2008
ユーザの認証コードを入力して、サインインしてください。前に戻るには、コードが空のま
まリターンするか、“前に戻る”をクリックします。
コードを入力後、リターンすると認証コードが正しければサインインします。
認証デバイスが表示する認証コードの代わりに、回復コードを入力することもできます。正
しい回復コードでログインすると、認証デバイスの登録と回復コードはコンピュータから
削除されます。ログイン後、早急に AddToken で認証デバイスをセットアップし、新しい
自動生成キーと回復コードをコンピュータに保存しなければなりません。
「他のユーザ」でユーザ名/ドメイン/パスワードを指定してサインインするには、ユーザ名
かメールアドレス、パスワード、ドメインを入力してください。
[Windows 8.x ]
ユーザ名にメールアドレス LiveID を指定した場合、ドメイン名は MicrosoftAccout にて
ください。ドメイン名が空の状態でチルダ ~ を入力すると自動的に “MicrosoftAccount”
に展開されます。ローカルアカウントではドメインは空で構いません。
11
指定したユーザの資格情報が正しければ、Authenticator に表示される認証コードを入力
する画面になります。
12
ロック解除
パスワード入力後、パスワードが正しければ認証コード入力の画面になります。
コードを入力後リターンでロックが解除されます。
13
14
Authenticator キーの生成と保存
Authenticator キーの生成と保存は、Windows にアカウントを持っているユーザがそれ
ぞれ行ってください。認証コードの生成と保存を行わないと、GAuthLogon でサインイ
ンできません。ただし、GAuthLogon 導入直後の何度かは認証コードの生成と保存がされ
ていなくてもサインインできます。
A. Windows にサインインしてください
B. 「Program Files」－「RiBiG」―「GAuthLogon」内の AddToken.exe を起動しま
す。
C. 「生成」ボタンを押して新規に Authenticator キーを生成するか、他のコンピュータ
で生成した暗号された認証コードをテキストボックスに手入力してください。テキス
トボックスに入力を開始するとウィンドウ内のメッセージが以下のように変更されま
す。
15
D. 「生成」ボタンを選択すると Authenticator キーが生成され QR コードが表示され
ます。
＊日本語のユーザ名を使っていると Authenticator は正しく QR コードを読み取れませ
ん。アドレスバーの URL の日本語文字を英数字に変更して、URL を開いてください。日
本語部分は Authenticator で認証キーを識別するラベルとして利用されるだけですの
で、どのような英数字でもかまいせんが、識別しやすいものにしておくと便利です。
16
例：ユーザ名が山田太郎、ドメイン名が MyDomain の場合、以下の URL が表示され
ますが、日本語文字“山田太郎”があるため QR コードは正しく表示されません。
otpauth://totp/Windows:山田太郎@MyDomain?secret=5WCFQ6TOM6XMXNWZ
URL の日本語文字“山田太郎”を “taro yamada” に変更して QR コードを再表示
otpauth://totp/Windows:taro yamada@MyDomain?secret=5WCFQ6TOM6XMXNWZ
E. Authenticator で QR コードを読み取り、Authenticator キーを「保存」してくだ
さい。QR コードを読み取っただけでは GAuthLogon は正しく動作しません。キー
の読み取りと保存を必ず行ってください。
F. [保存]でホームディレクトリ内に Authenticator キーは保存されます。また、同時に
クリップボードに暗号化された Authenticator キーがコピーされます。
G. クリップボードにコピーされた暗号化されたキーは。他のコンピュータで実行した
AddToken.exe のテキストボックスに入力して、保存できます。ユーザ名が同じであ
れば同じ Authenticator キーを複数のコンピュータに保存できます。
H. 暗号化された認証コードは機密情報として扱ってください。
17
GAuthLogon 以外のプロバイダの無効化
この時点では[サインインオプション]で GAuthLogon 以外のプロバイダを選択して、
Windows にサインインできます。Windows 標準のユーザ名/パスワードプロバイダを使え
ば、サインインに認証コードの入力は不要です。
認証コードの入力をしなければ Windows にサインインできないようにするには
GAuthLogon 以外のプロバイダをフィルタします。
A. Windows にサインインしてください
B. 「Program Files」－「RiBiG」―「GAuthLogon」内の setFilter.exe を起動してくだ
さい
左のリストに現在登録されているプロバイダの一覧が表示されます。[サインインオプショ
ン]で表示させたくないプロバイダを右側のリストに移動させます。
左側で PasswordProivder を選択して、 [==>] ボタンで右のリストに移動させます。
Windows 8/2012 以降では同様に次の３つも移動させてください
PicturePasswordLogonProvider
PINLogonProvider
WLIDCredentialProvider
18
移動を確定するには、必ず、
「登録」ボタンで設定を保存します。
＊試用版は最大２つまでフィルタ可能です。２つ以上の CP はフィルタできません。
＊左のリストボックスには複数のプロバイダが表示されていますが、分かっているプロバ
イダのみを無効化してください。分からないものには手をつけないでください。
ログオフすると、ログイン画面には[サインインオプション]が表示されていないか、表示さ
れていても標準のユーザ名/パスワードプロバイダ、ピクチャパスワード、PIN、Windows
LiveID プロバイダは現れなくなります。
19
セーフモードで GAuthLogon の有効化
チェックしないようにしてください。
Windows を分かっていてセーフモードでサードパーティーのクレデンシャルプロバイダ
が有効となっていても、復旧手段を用意できる場合だけチェックしてください。
セーフモードではデフォルトでサードパーティーのクレデンシャルプロバイダは無効化さ
れます。これは、サードパーティーのクレデンシャルプロバイダで問題が発生したときで
も、Windows 保守目的でセーフモードでログインできるようにするためです。
このチェックを付けてしまうとセーフモードでもサードパーティーのクレデンシャルプロ
バイダは有効となり、問題のあるクレデンシャルプロバイダ以外でログインできなければ
復旧モードのコンソールログイン、設定されていればリモートからのファイル/レジストリ
操作、これら２つ以外の方法で Windows に変更を加えることができなくなります。
20
リモートデスクトップ
GAuthLogon 以外のプロバイダを無効化すると、他のコンピュータからリモートデスクト
ップ接続したときに Authenticator の認証コード入力をサーバ側が求めるようになりま
す。
Windows の標準パスワードプロバイダが有効になっていると、自動サインインしてしまう
ため Authenticator コード入力の機会は失われます。ターミナルサーバ側で Windows の
標準パスワードプロバイダを無効にすると、クライアントで入力した資格情報（ユーザ名/
パスワード）はターミナルサーバ側の GAuthLogon に渡るようになります（自動ログオ
ンしないようになります）。標準パスワードプロバイダを無効にしたら、他のユーザ名/パ
スワードを求めるようなプロバイダも同時に無効にすることをお勧めします。
Windows 7/8/10 では、必ずリモートデスクトップの設定を “リモートデスクトップを
実行しているコンピュータからの接続を許可する”にしてください。ネットワークレベル認
証になっていると認証エラーになってしまいます。
接続する側の Windows でユーザ名/パスワード/ドメインを入力して接続すると、そのユ
ーザのタイルが１つ表示されます（スマートカードプロバイダ等が有効になっていると複
数のタイルが表示されます）
21
認証コードを入力する画面になります。コードを入力してリターンするとサインインしま
す。
[高度
高度]ネットワークレベル
高度ネットワークレベル認証
ネットワークレベル認証の
認証の無効化
サーバ側のネットワークレベル認証を無効にすると、クライアント側にログイン画面が表
示される従来のリモートデスクトップと同じ動作をするようになります。
方法：レジストリ値 SecurityLayer を２から０にセット
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Terminal
Server¥WinStations¥RDP-Tcp
SecurityLayer 2 0
＊ネットワークレベル認証の無効化は推奨されていません。レジストリ変更は自己責任に
て行ってください。
22
Windows 標準の PasswordProvider によるユーザ名/パスワード入力
GAuthLogon は既定では独自のユーザ名/パスワード入力画面を表示します。見栄えや機
能的に Windows 標準のユーザ名/パスワード入力画面と異なります。ログイン画面での
タイル表示は GAuthLogon が行っていますので Windows 標準 PasswordProvider とは
異なる挙動をします。
PasswordProvider をフィルタして GAuthLogon で PasswordProvider を置き換える
ような使い方をする場合、使い慣れた PasswordProvider と同じ表示/機能は残したいケ
ースがあります。このオプションを有効にすると GAuthLogon は PasswordProvider を
内部的に呼び出すようになります。タイル表示やユーザ名/パスワード入力画面は
PasswordProvider によって行われるようになります。GAuthLogon が
PasswordProvider と同じ挙動をするようになります。
設定
グローバル設定ファイルを GAuthLogon がインストールされているフォルダ内に作成し
ます。
既定インストール場所
"C:¥Program Files¥RiBiG¥GAuthLogon"
（環境によっては C:ドライブ以外にインストールされているかもしれません）
このフォルダ内に任意のエディターで gauthlogon.ini ファイル（テキストファイル）を
作成してください。
"C:¥Program Files¥RiBiG¥GAuthLogon¥gauthlogon.ini"
ファイルに以下の内容を入力して保存してください。
[Google Authenticator]
UsePassProvider=yes
23
GAuthLogon のアンインストール
コントロールパネルの「プログラム」－「プログラムのアンインストール」を選択して、
GAuthLogon をアンインストールしてください。
アンインストールが終わったら、必ず一度ログオフしてください。ログオフすることで、
アンインストールが完了します。ログオフしないまま、再インストールしてしまうとイン
トールしたファイルの一部が削除されてしまいます。
GAuthLogon の更新
新しい配布パッケージを入手したら、そのパッケージ内の対象 OS 用の setup.exe を実行
してください。インストールされているファイルは、パッケージ内のファイルに更新され
ます。更新前にアンインストールする必要はありません。
24
ライセンスファイルのインストール
ライセンスファイルをインストールしなければ、GAuthLogon は機能制限モードで動作し
ます。この制限を解除するにはライセンスファイルをインストールします。
ライセンスファイル設定の手順
配布ファイル内の hwID.exe を実行してください。
A) [ハードウェア ID 取得]ボタンをクリックすると hwID.exe を実行している PC のハ
ードウェア ID を生成、テキストボックスに表示してからクリップボードにコピーしま
す。
25
B) [はい] でライセンス発行 Web サイトが既定ブラウザで開きます。
C) ハードウェア ID フィールドにハードウェア ID をペーストします。また、アカウン
ト名とパスワードを設定してから、[ライセンス発行]ボタンをクリックします。
D) ライセンスファイルが license.txt という名前でダウンロードされます。このファイル
を GAuthLogon のインストールフォルダ ( 「 Program Files 」－「 RiBiG 」 ―
「GAuthLogon」)に設置（コピー）してください。
ライセンスを発行するには事前にアカウントを作成し、発行可能なライセンスを購入して
おく必要があります。アカウント作成ページでアカウントを作成できます。テストアカン
ト（無料）を作成すると、ライセンス期限が限定されたライセンスを発行できます。
26
付録 1
ドメインに参加しているコンピュータは、ドメインコントローラと時間が同期しますので、
ドメインコントーラの時計が正確な時間になるように設定してください。ドメインに参加
していないコンピュータは、インターネット上のタイムサーバと同期するよう設定してく
ださい。
画面右下の日時が表示されている部分をクリックして時計とカレンダが表示されたら、
「日
付と時刻の設定の変更」を選択して、
「インターネット時刻」タブを表示します。
「設定の変
更」で“インターネット時刻サーバと同期する”をチェックしてサーバの URL を設定して
ください。以下のページにインターネット時刻サーバの URL/IP アドレスが記載されてい
ます。
http://www.venus.dti.ne.jp/~yoshi-o/NTP/NTP-Table.html

Download Report