Users Guide
シングルサインオンまたはスマートカードログ
イン用 CMC の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の CMC 設定に関する情
報を提供します。
CMC バージョン 2.10 以降、CMC はスマートカードおよび SSO ログインに対応するため、Kerberos ベースの Active Directory 認証を
サポートします。
SSO は認証方法として kerberos を使用するため、ドメインにサインインしたユーザーが Exchange など次に使用するアプリケーショ
ンに自動サインオンまたはシングルサインオンすることが可能になります。シングルサインオンでログインする場合、CMC はク
ライアントシステムの資格情報を使用します。この資格情報は、有効な Active Directory アカウントを使ってログインした後、オペ
レーティングシステムによってキャッシュされます。
2 要素認証ではユーザーがパスワードまたは PIN と秘密キーまたはデジタル証明書を含んだ物理カードを持っている必要があるた
め、高レベルのセキュリティを実現できます。Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステム
はその信頼性を確認できます。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではあり
ません。他のログインインターフェースに対しては別のポリシー属性を設定する必要があります。すべてのログインインタフ
ェースを無効にするには、サービス ページに移動してからすべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 は、Kerberos
を SSO とスマートカード用の認証方法として使用することができます。
Kerberos の詳細については、Microsoft ウェブサイトを参照してください。
関連概念
システム要件 、p. 150
シングルサインオンまたはスマートカードログインの前提条件 、p. 151
Active Directory ユーザーに対する CMC SSO またはスマートカードログインの設定 、p. 153
トピック:
• システム要件
• シングルサインオンまたはスマートカードログインの前提条件
• Active Directory ユーザーに対する CMC SSO またはスマートカードログインの設定
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
● DNS サーバー
● Microsoft Active Directory Server
メモ: Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービスパックとパッチが
インストールされていることを確認してください。Windows 2008 で Active Directory を使用している場合は、SP1 と次のホ
ットフィックスがインストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファ
イルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
● Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
● DHCP サーバー(推奨)
● DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
10
150 シングルサインオンまたはスマートカードログイン用 CMC の設定