Users Guide
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、 CMC は Windows Kerberos ネットワーク
をサポートします。
ktpass ツール(サーバーインストール CD/DVD の一部として Microsoft から提供)はユ
ーザーアカウントにサービスプリンシパル名(SPN)バインドを作成して、信頼情報を MIT-スタイルの
Kerberos keytab ファイルにエクスポートします。ktpass ユーティリティの詳細は、Microsoft のウェブサイ
トを参照してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユー
ザーアカウントを作成する必要があります。さらに、このアカウントは、生成した keytab ファイルをアップ
ロードする
CMC DNS 名と同じ名前にする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに CMC をマップするドメインコン
トローラ(Active Directory サーバー)上で実行します。
2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
メモ: cmcname.domainname.com には RFC の要求に従って小文字を使用し、領域名
@REALM_NAME には大文字を使用します。さらに、CMC では Kerberos 認証用の DES-CBC-MD5
タイプの暗号化もサポートされています。
CMC にアップロードする必要のある keytab ファイルが作成されます。
メモ: keytab には暗号化キーが含まれているので、安全な場所に保管してください。ktpass ユーテ
ィリティの詳細については、Microsoft ウェブサイトを参照してください。
Active Directory スキーマ用の CMC の設定
Active Directory 標準スキーマ用の CMC の設定に関する情報は、「標準スキーマ Active Directory の設定」
を参照してください。
Active Directory 拡張スキーマ用の CMC の設定に関する情報は、「拡張スキーマ Active Directory の概要」
を参照してください。
SSO ログイン用のブラウザの設定
シングルサインオン(SSO)は、Internet Explorer バージョン 6.0 以降と Firefox バージョン 3.0 以降でサポ
ートされています。
メモ: 次の手順は、CMC が Kerberos 認証でシングルサインオンを使用する場合にのみ適用されます。
Internet Explorer
Internet Explorer でシングルサインオンの設定を行うには、次の手順を実行します。
1. Internet Explorer で、ツール → インターネットオプション を選択します。
2. セキュリティ タブの セキュリティ設定を表示または変更するゾーンを選択する の下で、ローカルイン
トラネット を選択します。
3. サイト をクリックします。
ローカルイントラネット ダイアログボックスが表示されます。
168