Users Guide
10
シングルサインオンまたはスマートカードログイン用 CMC
の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の CMC 設定に関する情報を提供しま
す。
CMC バージョン 2.10 以降、CMC はスマートカードおよび SSO ログインに対応するため、Kerberos ベースの Active Directory 認証をサポートし
ます。
SSO は認証方法として kerberos を使用するため、ドメインにサインインしたユーザーが Exchange など次に使用するアプリケーションに自動サイン
オンまたはシングルサインオンすることが可能になります。シングルサインオンでログインする場合、CMC はクライアントシステムの資格情報を使用し
ます。この資格情報は、有効な Active Directory アカウントを使ってログインした後、オペレーティングシステムによってキャッシュされます。
2 要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っている必要があるため、高レベルの
セキュリティを実現できます。Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステムはその信頼性を確認できます。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではありません。他
のログインインターフェースに対しては別のポリシー属性を設定する必要があります。すべてのログインインタフェースを無効にするに
は、サービス ページに移動してからすべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 は、
Kerberos を SSO とスマートカード用の認証方法として使用することができます。
Kerberos の詳細については、Microsoft ウェブサイトを参照してください。
関連リンク
システム要件
シングルサインオンまたはスマートカードログインの前提条件
Active Directory ユーザーに対する CMC SSO またはスマートカードログインの設定
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
• DNS サーバー
• Microsoft Active Directory Server
メモ: Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービスパックとパッチがインス
トールされていることを確認してください。
Windows 2008 で Active Directory を使用している場合は、SP1 と次のホットフィック
スがインストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成され
ます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細は、
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参
照してください。
142