Users Guide
10
シングルサインオンまたはスマートカード
ログイン用 CMC の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の
CMC 設定に関する情報を提供します。
SSO は認証方法として kerberos を使用するため、サインインしたユーザーが Exchange など次に使用するアプ
リケーションに自動サインオンまたはシングルサインオンすることが可能になります。シングルサインオン
でログインする場合、CMC はクライアントシステムの資格情報を使用します。この資格情報は、有効な Active
Directory アカウントを使ってログインした後、オペレーティングシステムによってキャッシュされます。
2 要素認証は、ユーザーがパスワードまたは PIN、および秘密キーまたはデジタル証明書を含む物理カードを
所有ことを必要とするため、高レベルのセキュリティを提供します。Kerberos では、この 2 要素認証メカニ
ズムを使用しており、これによってシステムの信頼性を確認します。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が
設定されるわけではありません。他のログインインタフェースに対しても別のポリシー属性を設定す
る必要があります。すべてのログインインタフェースを無効にするには、サービス ページに移動し、
すべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server
2008 は、Kerberos を SSO とスマートカード用の認証方法として使用することができます。
Kerberos についての情報は、Microsoft ウェブサイトを参照してください。
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
• DNS サーバー
• Microsoft Active Directory Server
メモ: Microsoft Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新
のサービスパックとパッチがインストールされていることを確認してください。Microsoft Windows
2008 で Active Directory を使用している場合は、SP1 と共に次のホットフィックスがインストールさ
れていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不
良な keytab ファイルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要で
す。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能なプロ
グラムが必要です。詳細は、www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en を参照してください。
137