Users Guide

1. ネットワークアカウントを使ってクライアントシステムにログインします。



2. 以下を使用して CMC ウェブページにアクセスします。

https://<cmc 名.ドメイン名 >

例：cmc-6G2WXF1.cmcad.lab

ここで、cmc-6G2WXF1 は CMC 名を表します。

cmcad.lab はドメイン名を表します。

CMC のシングルサインオンページが表示されます。



3. ログインをクリックします。

CMCは、有効な Active Directory アカウントを使ってログインしたときにブラウザによってキャッシュされた Kerberos 資格情報でユーザーをログインします。ログインに失敗すると、ブラウザ

は通常の CMC ログインページにリダイレクトされます。

スマートカードによる二要素認証の設定

従来の認証方式では、ユーザーの認証にユーザー名とパスワードを使用します。一方、二要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っ

ている必要があるため、高レベルのセキュリティを実現できます。ネットワーク認証プロトコルの Kerberos では、この二要素認証メカニズムを使用しており、これによってシステムはその信頼性を確認

できます。MicrosoftWindows2000、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 では、Kerberos を認証方法として優先的に使用しま

す。CMC バージョン 2.10 以降では、CMC は Kerberos を使用してスマートカードログインをサポートできるようになりました。



システム要件

スマートカードのシステム要件は、シングルサインオンと同じです。



設定の実行

スマートカードの必要条件は、シングルサインオンと同じです。



Active Directory の設定



1. Active Dir ectory の Kerberos 領域とキー配付センター（KDC）が設定されていない場合は、設定してください（ksetup）。



2. 各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。



3. Ktpass を使用して CMC ユーザーをキー配付センターに登録します（これにより、CMC にアップロードするキーも出力されます）。



CMC の設定

Active Directory で設定した標準スキーマ役割グループ設定を、CMC で使用するように設定します。詳細については、CMC にアクセスするための標準スキーマ Active Directory の設定を参照

してください。



Kerberos Keytab ファイルのアップロード

Kerberos keytab ファイルは Kerberos データセンター（KDC）に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。

Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。

メモ：デフォルトの HTTPS ポート番号（ポート 80）を変更した場合は、<cmc 名.ドメイン名>:<ポート番号> を使って CMC ウェブページにアクセスします。ここで、cmc 名は CMC の

CMC ホスト名、ドメイン名はドメインの名前、ポート番号は HTTPS のポート番号をそれぞれ表します。

メモ：Active Directory ドメインにログインしないで Internet Explorer 以外のブラウザを使用している場合は、ログインに失敗し、ブラウザには空白ページのみが表示されます。

メモ：ログイン方法を選択しても、他のログインインタフェース（SSH など）に対してポリシー属性が設定されるわけではありません。他のログインインターフェースに対しては別のポリシー属性を

設定する必要があります。すべてのログインインタフェースを無効にするには、サービスページに移動してからすべて（または一部の）ログインインタフェースを無効にします。

メモ：強力な NTP および DNS インフラストラクチャによって、クロックドリフトやリバースルックアップの問題を確実に回避します。

メモ：本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。