Users Guide
メモ: Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービスパックとパッチがインストールされ
ていることを確認してください。
Windows 2008 で Active Directory を使用している場合は、SP1 と次のホットフィックスがインストールされ
ていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファイルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプログラムが必要です。詳細は、
www.microsoft.com/downloads/details.aspx?FamilyID= 32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してく
ださい。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと Kerberos 領域の一部である必要がありま
す。
CMC
• CMC にはファームウェアバージョン 2.10 以降が必要
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)の Kerberos レルムとキー配付センター(KDC)の設定
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフラストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードするキーも出力されます)。
関連するリンク
標準スキーマ Active Directory の設定
拡張スキーマ Active Directory の設定
SSO ログイン用のブラウザの設定
Kerberos Keytab ファイルの生成
スマートカードのログインに使用するブラウザの設定
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、 CMC は Windows Kerberos ネットワークをサポートします。ktpass ツール(サーバーインス
トール
CD/DVD の一部として Microsoft から提供)はユーザーアカウントにサービスプリンシパル名(SPN)バインドを作成して、信頼情報を MIT-スタ
イルの Kerberos keytab ファイルにエクスポートします。ktpass ユーティリティの詳細は、Microsoft のウェブサイトを参照してください。
164
シングルサインオンまたはスマートカードログイン用 CMC の設定