Users Guide



Kerberos 認証を使用するには、ネットワークには次の項目が必要です。

l DNS サーバー

l Microsoft Active Directory®サーバー



l Kerberos キー配付センター（Active Directory サーバーソフトウェアに同梱）

l DHCP サーバー（推奨）

l DNS サーバー用のリバースゾーンには Active Directory サーバーと CMC 用のエントリが必要



クライアントシステム

l Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細については、

www.microsoft.com/downloads/details.aspx?FamilyID=32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。

l シングルサインオンと Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部でなければなりません。



CMC

l CMC にはファームウェアバージョン 2.10 以降が必要

l 各 CMC には Active Directory アカウントが必要

l CMC は Active Directory ドメインと Kerberos 領域の一部でなければなりません。



設定の実行



必要条件

l Active Directory（AD）の Kerberos 領域とキー配付センター（KDC）が設定済みである（ksetup）。

l クロックドリフトやリバースルックアップの問題を回避するための強力な NTP および DNS インフラストラクチャ

l 認証されたメンバーを含んだ CMC 標準スキーマロールグループ



Active Directory の設定



アカウントオプションの CMC プロパティダイアログボックスで、以下の設定を行います。

l アカウントは委任に対して信頼されている — CMC は、このオプションを選択するときに作成される、転送された資格情報を現在使用していません。このオプションは、他のサービス条件に

よって、選択できる場合とできない場合があります。

l アカウントは重要なので委任できない — このオプションは、他のサービス条件によって、選択できる場合とできない場合があります。

l このアカウントに Kerberos DES 暗号化を使う — このオプションを選択します。

l Kerberos 事前認証を必要としない — このオプションは選択しません。



Microsoft Windows の一部である ktpass ユーティリティをドメインコントローラ（Active Directory サーバー）上で実行し、ここで CMC を Active Directory 内のユーザーアカウントにマッピン

グします。例：



C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out

c:\krbkeytab



メモ：メモ： Windows 2003 で Active Directory を使用する場合は、クライアントシステムに最新のサービスパックとパッチがインストールされていることを確認してください。

Windows 2008 で Active Directory を使用する場合は、SP1 と次のホットフィックスがインストールされていることを確認してください。

KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成されます。

LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。

メモ： cmcname.domainname.com には RFC の要求に従って小文字を使用し、領域名 @REALM_NAME には大文字を使用します。さらに、CMC では Kerberos 認証用の DES-CBC-

MD5 タイプの暗号化もサポートされています。