Users Guide
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部である必要が
あります。
CMC
• CMC にはファームウェアバージョン 2.10 以降が必要
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)の Kerberos レルムとキー配付センター(KDC)の設定
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフラストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードするキーも出力されます)。
関連リンク
標準スキーマ Active Directory の設定
拡張スキーマ Active Directory の設定
SSO ログイン用のブラウザの設定
Kerberos Keytab ファイルの生成
スマートカードのログインに使用するブラウザの設定
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、 CMC は Windows Kerberos ネットワークをサポートします。ktpass ツール(サーバ
ーインストール CD/DVD の一部として Microsoft から提供)はユーザーアカウントにサービスプリンシパル名(SPN)バインドを作成して、信頼情
報を
MIT-スタイルの Kerberos keytab ファイルにエクスポートします。ktpass ユーティリティの詳細は、Microsoft のウェブサイトを参照してくださ
い。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションと使用する Active Directory ユーザーアカウントを作成する必要があり
ます。さらに、このアカウントは、生成した keytab ファイルをアップロードする CMC DNS 名と同じ名前にする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1. ktpass ユーティリティを、Active Directory 内のユーザーアカウントに CMC をマップするドメインコントローラ(Active Directory サーバー)上
で実行します。
2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
C:\>ktpass -princ HTTP/cmcname.domainname.com@DOMAINNAME.COM -mapuser keytabuser -
crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:\krbkeytab
メモ: cmcname.domainname.com には RFC の要求に従って小文字を使用し、領域名 @REALM_NAME には大文字を使用
します。さらに、CMC では Kerberos 認証用の DES-CBC-MD5 タイプの暗号化もサポートされています。
CMC にアップロードする必要のある keytab ファイルが作成されます。
メモ: keytab には暗号化キーが含まれているので、安全な場所に保管してください。
ktpass
ユーティリティの詳細については、
Microsoft ウェブサイトを参照してください。
Active Directory スキーマ用の CMC の設定
Active Directory 標準スキーマ用の CMC の設定に関する情報は、「標準スキーマ Active Directory の設定」を参照してください。
Active Directory 拡張スキーマ用の CMC の設定に関する情報は、「拡張スキーマ Active Directory の概要」を参照してください。
143