Users Guide
11
シングルサインオンまたはスマートカードログイ
ン用 CMC の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の CMC 設定に関
する情報を提供します。
SSO は認証方法として kerberos を使用するため、サインインしたユーザーが Exchange など次に使用するアプリケーション
に自動サインオンまたはシングルサインオンすることが可能になります。シングルサインオンでログインする場合、CMC は
クライアントシステムの資格情報を使用します。この資格情報は、有効な Active Directory アカウントを使ってログインした
後、オペレーティングシステムによってキャッシュされます。
2 要素認証は、ユーザーがパスワードまたは PIN、および秘密キーまたはデジタル証明書を含む物理カードを所有ことを必要
とするため、高レベルのセキュリティを提供します。
Kerberos では、この 2 要素認証メカニズムを使用しており、これによ
ってシステムの信頼性を確認します。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけ
ではありません。他のログインインタフェースに対しても別のポリシー属性を設定する必要があります。すべてのロ
グインインタフェースを無効にするには、サービス ページに移動し、すべて(または一部の)ログインインタフェース
を無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 は、
Kerberos を SSO とスマートカード用の認証方法として使用することができます。
Kerberos についての情報は、Microsoft ウェブサイトを参照してください。
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
• DNS サーバー
• Microsoft Active Directory Server
メモ: Microsoft Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービス
パックとパッチがインストールされていることを確認してください。Microsoft Windows 2008 で Active Directory
を使用している場合は、SP1 と共に次のホットフィックスがインストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab
ファイルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要
です。詳細は、
www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域
の一部である必要があります。
110