Users Guide
10
シングルサインオンまたはスマートカード
ログイン用 CMC の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用
の
CMC 設定に関する情報を提供します。
SSO は認証方法として kerberos を使用するため、サインインしたユーザーが Exchange など次に使用する
アプリケーションに自動サインオンまたはシングルサインオンすることが可能になります。シングルサイン
オンでログインする場合、CMC はクライアントシステムの資格情報を使用します。この資格情報は、有効な
Active Directory アカウントを使ってログインした後、オペレーティングシステムによってキャッシュされま
す。
2 要素認証は、ユーザーがパスワードまたは PIN、および秘密キーまたはデジタル証明書を含む物理カード
を所有ことを必要とするため、高レベルのセキュリティを提供します。Kerberos では、この 2 要素認証メカ
ニズムを使用しており、これによってシステムの信頼性を確認します。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が
設定されるわけではありません。他のログインインタフェースに対しても別のポリシー属性を設定す
る必要があります。すべてのログインインタフェースを無効にするには、サービス ページに移動し、
すべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および
Windows Server 2008 は、Kerberos を SSO とスマートカード用の認証方法として使用することができます。
Kerberos についての情報は、Microsoft ウェブサイトを参照してください。
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
• DNS サーバー
• Microsoft Active Directory Server
メモ: Microsoft Windows 2003 で Active Directory を使用している場合は、クライアントシステム
に最新のサービスパックとパッチがインストールされていることを確認してください。
Microsoft
Windows 2008 で Active Directory を使用している場合は、SP1 と共に次のホットフィックスがイ
ンストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリテ
ィで不良な
keytab ファイルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-
x86.msu。
• Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
• DHCP サーバー(推奨)
149