Deployment Guide
構成ガイド 25
6
Kerberos 認証/権限のコンポーネントの構成
このセクションでは、Kerberos 認証/権限で使用するコンポーネントの設定方法について説明します。
Kerberos 認証/権限のコンポーネントの構成
注: Kerberos 認証/権限を使用する場合は、Key Server コンポーネントを含んでいるサーバーを、その影響を受けるドメインに含ませる必
要があります。
Key Server は、ソケット上で接続されるクライアントをリスンするサービスです。クライアントが接続されたら、Kerberos
API
を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない
場合、クライアントが切断されます。
Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを知るために Device Server に確認し
ます。このアクセスは、個別のドメインを経由したリモート管理コンソール上で許可されます。
Windows サービスの手順
1
Windows
の[サービス]パネル([スタート]
>
[ファイル名を指定して実行]
>
[
services.msc
]
>
[
OK
])に移動します。
2
[
Dell Key Server
]を右クリックして、[
プロパティ
]を選択します。
3
[
ログオン
]タブに移動して、[
アカウント
:
]オプションボタンを選択します。
4
[
アカウント
:
]フィールドで、希望するドメインユーザーを追加します。このドメインユーザーは、少なくとも
Key Server
フォルダのローカル管理権限を持つ必要があります。つまり、
Key Server
の
config
ファイル、
log.txt
ファイルへの書き込
みができる必要があります。
5
[
OK
]をクリックします。
6
サービスを再起動します。後で操作できるように、
Windows
の[サービス]パネルを開いたままにします。
7
<Key Server
インストールディレクトリ
> log.txt
に移動して、サービスが正しく開始していることを確認します。
Key Server の構成ファイルの手順
1
<Key Server
インストールディレクトリ
>
に移動します。
2
テキストエディタで
Credant.KeyServer.exe.config
を開きます。
3
<add key="user" value="superadmin" />
に移動して、
"superadmin"
の値を、適切なユーザーの名前に変更します。
"superadmin"
のままとすることもできます。
"superadmin"
の形式は、サーバーを認証できる任意の方法に指定できます。
SAM
アカウント名、
UPN
、またはドメイン
\
ユーザー名は容認できます。アクティブディレクトリに対する権限のための、
その
ユーザーアカウントに検証が必要である
ため、サーバーを認証できるすべての方法が容認できます。
例えば、マルチドメイン環境では、
"jdoe"
などの
SAM
アカウント名のみを入力すると失敗する可能性があります。その理
由は、サーバーが
"jdoe"
を検索できないため、
"jdoe"
を認証できないからです。マルチドメイン環境では、ドメイン
\
ユー
ザー名の形式が容認できますが、
UPN
が推奨されます。
単一ドメイン環境では、
SAM
アカウント名が容認できます。