Users Guide
• DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要
です。
クライアントシステム
• Smart Card でログインする場合は、クライアントシステムには Microsoft Visual C++ 2005 再頒布可能
なプログラムが必要です。詳細は、www.microsoft.com/downloads/details.aspx?FamilyID=
32BC1BEEA3F9-4C13-9C99-220B62A191EE&displaylang=en
を参照してください。
• シングルサインオンまたは Smart Card ログインでは、クライアントシステムは Active Directory ドメイ
ンと Kerberos 領域の一部である必要があります。
CMC
• 各 CMC には Active Directory アカウントが必要
• CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
シングルサインオンまたはスマートカードログインの前提条
件
SSO またはスマートカードログイン設定の前提条件は、次のとおりです。
• Active Directory(ksetup)のために Kerberos レルムとキー配付センター(KDC)をセットアップ。
• クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフ
ラストラクチャ。
• 承認済みメンバーのある Active Directory 標準スキーマ役割グループに対する CMC の設定
• スマートカード用には、各 CMC の Active Directory を作成し、事前認証でなく Kerberos DES 暗号化を
使用できるように設定します。
• SSO またはスマートカードのログインに使用するブラウザの設定
• Ktpass を使用して CMC ユーザーをキー配付センターに登録します(これにより、CMC にアップロード
するキーも出力されます)。
Kerberos Keytab ファイルの生成
SSO およびスマートカードログイン認証をサポートするために、CMC は Windows Kerberos ネットワーク
をサポートします。ユーザーアカウントへのサービスプリンシパル名(SPN)バインドの作成、および信頼
情報の
MIT スタイルの Kerberos keytab ファイルへのエクスポートには、ktpass ツール(サーバーインスト
ール CD/DVD の一部として Microsoft から使用可能)が使用されます。ktpass ユーティリティの詳細につい
ては、Microsoft のウェブサイトを参照してください。
keytab ファイルを生成する前に、ktpass コマンドの -mapuser オプションで使用する Active Directory ユー
ザーアカウントを作成する必要があります。この名前は、生成した
keytab ファイルのアップロード先となる
CMC DNS 名と同じにする必要があります。
150