Users Guide
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要
です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能な
プログラムが必要です。詳細は、www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメイ
ンと Kerberos 領域の一部である必要があります。
CMC
• CMC にはファームウェアバージョン 2.10 以降が必要
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条
件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)の Kerberos レルムとキー配付センター(KDC)の設定
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS イン
フラストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使
用できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロー
ドするキーも出力されます)。
関連リンク
標準スキーマ Active Directory の設定
拡張スキーマ Active Directory の設定
SSO ログイン用のブラウザの設定
Kerberos Keytab ファイルの生成
スマートカードのログインに使用するブラウザの設定
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、 CMC は Windows Kerberos ネットワークをサ
ポートします。ktpass ツール(サーバーインストール CD/DVD の一部として Microsoft から提供)はユーザー
アカウントにサービスプリンシパル名(SPN)バインドを作成して、信頼情報を MIT-スタイルの Kerberos
keytab ファイルにエクスポートします。ktpass ユーティリティの詳細は、Microsoft のウェブサイトを参照し
てください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザー
アカウントを作成する必要があります。さらに、このアカウントは、生成した keytab ファイルをアップロー
ドする CMC DNS 名と同じ名前にする必要があります。
146