Users Guide
11
シングルサインオンまたはスマートカードログイン用 CMC
の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の CMC 設定に関する情報を提供しま
す。
SSO は認証方法として kerberos を使用するため、サインインしたユーザーが Exchange など次に使用するアプリケーションに自動サインオンまた
はシングルサインオンすることが可能になります。シングルサインオンでログインする場合、CMC はクライアントシステムの資格情報を使用します。こ
の資格情報は、有効な Active Directory アカウントを使ってログインした後、オペレーティングシステムによってキャッシュされます。
2 要素認証は、ユーザーがパスワードまたは PIN、および秘密キーまたはデジタル証明書を含む物理カードを所有ことを必要とするため、高レベル
のセキュリティを提供します。Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステムの信頼性を確認します。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではありません。他
のログインインタフェースに対しても別のポリシー属性を設定する必要があります。すべてのログインインタフェースを無効にするには、
サービス ページに移動し、すべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 は、
Kerberos を SSO とスマートカード用の認証方法として使用することができます。
Kerberos についての情報は、Microsoft ウェブサイトを参照してください。
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
• DNS サーバー
• Microsoft Active Directory Server
メモ: Microsoft Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービスパックとパッ
チがインストールされていることを確認してください。
Microsoft Windows 2008 で Active Directory を使用している場合は、SP1
と共に次のホットフィックスがインストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成され
ます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細は、
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参
照してください。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部である必要が
あります。
CMC
• 各 CMC には Active Directory アカウントが必要
106