Users Guide
シングルサインオンまたはスマートカードログ
イン用 CMC の設定
本項は、Active Directory ユーザーのスマートカードログインおよびシングルサインオン(SSO)ログイン用の CMC 設定に関する情
報を提供します。
SSO は認証方法として kerberos を使用するため、サインインしたユーザーが Exchange など次に使用するアプリケーションに自動サ
インオンまたはシングルサインオンすることが可能になります。シングルサインオンでログインする場合、CMC はクライアント
システムの資格情報を使用します。この資格情報は、有効な Active Directory アカウントを使ってログインした後、オペレーティン
グシステムによってキャッシュされます。
2 要素認証は、ユーザーがパスワードまたは PIN、および秘密キーまたはデジタル証明書を含む物理カードを所有ことを必要とする
ため、高レベルのセキュリティを提供します。Kerberos では、この 2 要素認証メカニズムを使用しており、これによってシステム
の信頼性を確認します。
メモ: ログイン方法を選択しても、他のログインインタフェース(SSH など)に対してポリシー属性が設定されるわけではあり
ません。他のログインインタフェースに対しても別のポリシー属性を設定する必要があります。すべてのログインインタフェ
ースを無効にするには、サービス ページに移動し、すべて(または一部の)ログインインタフェースを無効にします。
Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows 7、および Windows Server 2008 は、Kerberos
を SSO とスマートカード用の認証方法として使用することができます。
Kerberos についての情報は、Microsoft ウェブサイトを参照してください。
トピック:
• システム要件
• シングルサインオンまたはスマートカードログインの前提条件
• Kerberos Keytab ファイルの生成
• Active Directory スキーマ用の CMC の設定
• SSO ログイン用のブラウザの設定
• スマートカードのログインに使用するブラウザの設定
• Active Directory ユーザーに対する CMC SSO またはスマートカードログインの設定
システム要件
Kerberos 認証を使用するには、ネットワークには以下が必要です。
● DNS サーバー
● Microsoft Active Directory Server
メモ: Microsoft Windows 2003 で Active Directory を使用している場合は、クライアントシステムに最新のサービスパックと
パッチがインストールされていることを確認してください。Microsoft Windows 2008 で Active Directory を使用している場
合は、SP1 と共に次のホットフィックスがインストールされていることを確認してください。
KTPASS ユーティリティ用 Windows6.0-KB951191-x86.msu。このパッチがないと、ユーティリティで不良な keytab ファ
イルが生成されます。
LDAP バインド中に GSS_API および SSL トランザクションに使用する Windows6.0-KB957072-x86.msu。
● Kerberos キー配付センター(Active Directory サーバーソフトウェアに同梱)
● DHCP サーバー(推奨)
● DNS サーバー用のリバース(逆引き)ゾーンには Active Directory サーバーと CMC 用のエントリが必要です。
10
シングルサインオンまたはスマートカードログイン用 CMC の設定 141