Users Guide
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメインと
Kerberos 領域の一部である必要があります。
CMC
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条
件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)の Kerberos レルムとキー配付センター(KDC)の設定
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフラ
ストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を使用
できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロードす
るキーも出力されます)。
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、CMC は Windows Kerberos ネットワークをサ
ポートします。ユーザーアカウントへのサービスプリンシパル名(SPN)バインドの作成、および信頼情報
の MIT スタイルの Kerberos keytab ファイルへのエクスポートには、ktpass ツール(サーバーインストール CD/
DVD の一部として Microsoft から使用可能)が使用されます。ktpass ユーティリティの詳細については、
Microsoft のウェブサイトを参照してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションで使用する Active Directory ユーザー
アカウントを作成する必要があります。この名前は、生成した keytab ファイルのアップロード先となる CMC
DNS 名と同じにする必要があります。
ktpass ツールを使用して keytab ファイルを生成するには、次の手順を実行します。
1.
ktpass
ユーティリティを、Active Directory 内のユーザーアカウントに CMC をマップするドメインコント
ローラ(Active Directory サーバー)上で実行します。
2. 次の ktpass コマンドを使用して、Kerberos keytab ファイルを作成します。
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM - mapuser
dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out c:
\krbkeytab
メモ: cmcname.domainname.com には RFC で必要とされるとおり小文字を使用し、
@REALM_NAME には大文字を使用する必要があります。さらに、CMC は Kerberos 認証用に DES-
CBC-MD5
タイプの暗号化もサポートします。
CMC にアップロードする必要のある keytab ファイルが作成されます。
メモ: keytab には暗号化キーが含まれており、安全な場所に保管する必要があります。
ktpass
ユー
ティリティの詳細については、Microsoft ウェブサイトを参照してください。
138