Users Guide
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細は、
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してく
ださい。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部である必要がありま
す。
CMC
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)のために Kerberos レルムとキー配付センター(KDC)をセットアップ。
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフラストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードするキーも出力されます)。
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、CMC は Windows Kerberos ネットワークをサポートします。ユーザーアカウントへのサービス
プリンシパル名(SPN)バインドの作成、および信頼情報の MIT スタイルの Kerberos keytab ファイルへのエクスポートには、ktpass ツール(サーバーイ
ンストール
CD/DVD の一部として Microsoft から使用可能)が使用されます。ktpass ユーティリティの詳細については、Microsoft のウェブサイトを参照
してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションで使用する Active Directory ユーザーアカウントを作成する必要があります。こ
の名前は、生成した keytab ファイルのアップロード先となる CMC DNS 名と同じにする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1 ktpass ユーティリティを、Active Directory 内のユーザーアカウントに CMC をマップするドメインコントローラ(Active Directory サーバー)上で実行
します。
2 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
ktpass -princ HTTP/cmcname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -crypto DES-CBC-
MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
メモ: cmcname.domainname.com には RFC で必要とされるとおり小文字を使用し、@REALM_NAME には大文字を使用する必要
があります。さらに、CMC は Kerberos 認証用に DES-CBC-MD5 タイプおよび AES256–SHA1 タイプの暗号化もサポートします。
CMC にアップロードする必要のある keytab ファイルが作成されます。
154
シングルサインオンまたはスマートカードログイン用 CMC の設定