Users Guide
CMC のシングルサインオン ページが表示されます。
3. ログイン をクリックします。
有効な Active Directory アカウントを使ってログインしたときにブラウザによってキャッシュされた Kerberos 資格情報を使用すると、CMC にログインできます。ログインに失敗すると、ブラウ
ザは通常の CMC ログインページにリダイレクトされます。
スマートカードによる二要素認証の設定
従来の認証方式では、ユーザーの認証にユーザー名とパスワードを使用します。一方、2 要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っ
ている必要があるため、高レベルのセキュリティを実現できます。ネットワーク認証プロトコルの Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステムはその信頼性を確認
できます。MicrosoftWindows2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos を認証方法として優先的に使用しま
す。CMC バージョン 2.10 以降では、CMC は Kerberos を使用してスマートカードログインをサポートできるようになりました。
システム要件
スマートカードの「システム要件」は、シングルサインオンと同じです。
設定の実行
スマートカードの「必要条件」は、シングルサインオンと同じです。
Active Directory の設定
1. Active Dir ectory の Kerberos 領域とキー配付センター(KDC)が設定されていない場合は、設定してください(ksetup)。
2. 各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。
3. Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードするようにキーも出力されます)。
CMC の設定
CMC が Active Directory で設定した標準スキーマ役割グループ設定を使用するように設定します。詳細については、「CMC にアクセスするための標準スキーマ Active Directory の設定」を参
照してください。
Kerberos Keytab ファイルのアップロード
Kerberos keytab ファイルは Kerberos データセンター(KDC)に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。
Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。
keytab ファイルをアップロードするには:
1. ユーザー認証 タブ® ディレクトリサービス サブタブに移動します。 Microsoft Active Directory Standard または 拡張 スキーマ が選択されていることを確認します。選択されてい
ない場合は、任意の設定を選択してから 適用 をクリックします。
2. Kerberos Keytab のアップロード セクションで 参照 をクリックし、 keytab ファイルの保存先フォルダに移動してから アップロード をクリックします。
アップロードを完了したら、アップロードに成功または失敗したかを通知するメッセージボックスが表示されます。
スマートカード認証の有効化
メモ: Active Directory ドメインにログインしないで Internet Explorer 以外のブラウザを使用している場合は、ログインに失敗し、ブラウザには空白ページのみが表示されます。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を
設定する必要があります。すべてのログインインタフェースを無効にするには、サービス ページに移動してからすべて(または一部の)ログインインタフェースを無効にします。
メモ: 強力な NTP および DNS インフラストラクチャによって、クロックドリフトやリバースルックアップの問題を確実に回避します。
メモ: 本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。