Users Guide
3. ログイン をクリックします。
有効な Active Directory アカウントを使ってログインしたときにブラウザによってキャッシュされた Kerberos 資格情報を使用すると、CMC にログインできます。ログインに失敗すると、ブラウ
ザは通常の CMC ログインページにリダイレクトされます。
スマートカードによる二要素認証の設定
従来の認証方式では、ユーザーの認証にユーザー名とパスワードを使用します。一方、二要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っ
ている必要があるので、高レベルのセキュリティを実現できます。ネットワーク認証プロトコルの Kerberos では、この二要素認証メカニズムを使用しており、これによってシステムはその信頼性を確認
できます。Microsoft Windows2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos を認証方法として優先的に使用しま
す。CMC バージョン 2.10 以降では、CMC は Kerberos を使用してスマートカードログインをサポートできるようになりました。
システム要件
スマートカードの「システム要件」は、シングルサインオンと同じです。
設定の実行
スマートカードの「必要条件」は、シングルサインオンと同じです。
Active Directory の設定
1. Active Dir ectory の Kerberos 領域とキー配付センター(KDC)が設定されていない場合は、設定してください(ksetup)。
2. 各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。
3. Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードするようにキーも出力されます)。
CMC の設定
CMC が Active Directory で設定した標準スキーマロールグループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を参
照してください。
Kerberos Keytab ファイルのアップロード
Kerberos keytab ファイルは Kerberos データセンター(KDC)に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。
Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。
keytab ファイルをアップロードするには:
1. リモートアクセス ® 設定 タブ® Active Directory サブタブに移動します。
メモ: Active Directory ドメインにログインしないで Internet Explorer 以外のブラウザを使用している場合は、ログインに失敗し、ブラウザには空白ページのみが表示されます。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を
設定する必要があります。すべてのログインインタフェースを無効にするには、サービス ページに移動してからすべて(または一部の)ログインインタフェースを無効にします。
メモ: 強力な NTP および DNS インフラストラクチャによって、クロックドリフトやリバースルックアップの問題を確実に回避します。
メモ: 本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。