Users Guide
CMC
l CMC にはファームウェアバージョン 2.10 以降が必要
l 各 CMC には Active Directory アカウントが必要
l CMC は Active Directory ドメインと Kerberos Realm の一部である必要があります。
設定の実行
必要条件
l Active Directory(AD)の Kerberos 領域とキー配付センター(KDC)が設定済みである(ksetup)。
l クロックドリフトやリバースルックアップに伴う問題を回避するための強固な NTP および DNS インフラストラクチャ。
l 認証されたメンバーを含む CMC 標準スキーマ役割グループ。
Active Directory の設定
アカウント オプションの CMC プロパティ ダイアログボックスで、以下の設定を行います。
l アカウントを信頼して委任 - 転送される資格情報は、このオプションを選択した時点で作成されます。現時点では、 CMC はこのオプションの選択時に作成される転送された資格情報を使用
しません。このオプションは、他のサービス条件によって、選択できる場合とできない場合があります。
l アカウントは重要なので委任できない - このオプションは、他のサービス条件によって、選択できる場合とできない場合があります。
l このアカウントに Kerberos DES 暗号化を使う - このオプションを選択します。
l Kerberos 事前認証を必要としない - このオプションは選択しません。
Microsoft Windows の一部である ktpass ユーティリティを、Active Directory 内のユーザーアカウントに CMC をマッピングするドメインコントローラ(Active Directory サーバー)上で実行し
ます。たとえば、次のとおりです。
C:\>ktpass -princ HTTP/cmcname.domain_name.com@REALM_NAME.COM -mapuser dracname -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -pass * -out
c:\krbkeytab
この手順は、CMC にアップロードする必要のある keytab ファイルを作成します。
CMC の設定
Active Directory で設定した標準スキーマ役割グループ設定を、CMC で使用するように設定します。詳細については、CMC にアクセスするための標準スキーマ Active Directory の設定を参照
してください。
Kerberos Keytab ファイルのアップロード
Kerberos keytab ファイルは Kerberos データセンター(KDC)に対する CMC のユーザ名とパスワード資格情報として使用され、これによって Active Directory にアクセスすることができます。
Kerberos 領域の各 CMC は Active Directory を使って登録し、一意の keytab ファイルがあることが必要です。
keytab ファイルをアップロードするには:
1. ユーザー認証 タブ® ディレクトリサービス サブタブに移動します。 Microsoft Active Directory Standard または 拡張 スキーマ が選択されていることを確認します。選択されてい
ない場合は、任意の設定を選択してから 適用 をクリックします。
2. Kerberos Keytab のアップロード セクションで 参照 をクリックし、 keytab ファイルの保存先フォルダに移動してから アップロード をクリックします。
アップロードを完了したら、アップロードに成功または失敗したかを通知するメッセージボックスが表示されます。
シングルサインオンの有効化
メモ:cmcname.domainname.com には RFC の要求に従って小文字を使用し、領域名 @REALM_NAME には大文字を使用します。さらに、CMC では Kerberos 認証用の DES-CBC-MD5
タイプの暗号化もサポートされています。
メモ:keytab には暗号化キーが含まれているので、安全な場所に保管してください。ktpass ユーティリティの詳細については、Microsoft ウェブサイト
technet2.microsoft.com/windowsserver/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true を参照してください。
メモ:本項で説明された設定手順は、CMC のウェブアクセスに対してのみ適用されます。