ユーザがKerberos領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザのマシン)は、Kerberosサーバから証明書を入手する必要があります。サーバは、Authentication Server(AS)およびTicket Granting Server(TGS)です。 ASおよびTGSは、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。 Kerberos領域でユーザが安全なサービスにアクセスするプロセスの概要は、次のとおりです。 このプロセスは、初期状態でユーザがKerberos領域にログインしてKerberosで保護されたサービスに最初にアクセスをしようとするときにのみ発生します。 ユーザは、ドメインのユーザ名およびパスワードを使用してシステム(クライアント)にログインします。 ユーザのパスワードはハッシュされ、このハッシュがユーザの秘密鍵になります。 ユーザがサービスへのアクセスを試みると、メッセージが、ユーザがそのサービスにアクセスしようとしていることをASに伝えます。 ユーザがASデータベース内にある場合は、クライアントに2つのメッセージが返されます。 クライアント/TGSセッション キーはユーザの秘密鍵によって暗号化され、TGSとの通信で使用されます。 Ticket-Granting Ticket(TGT)は、TGSの秘密鍵によって暗号化されます。チケットは、個人識別のためにKerberosで使用されます。TGTによって、クライアントは、ネットワーク サービスと通信するためのその他のチケットを入手できます。
これらの2つのメッセージを受信したら、クライアントは、クライアント/TGSセッション キーの含まれるメッセージを復号します。
次のプロセスは、ユーザがサービスを認証しようとするたびに発生します。 ユーザがサービスを要求すると、クライアントはTGSに次の2つのメッセージを送信します。 認証符号。受信済みのクライアント/TGSセッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
タイムスタンプは、Kerberosで、複製攻撃を回避するために使用されます。マシン間のクロック スキューは、特定の限度を超えることができません。 TGSは認証符号を復号し、クライアントに次の2つのメッセージを返します。 別の認証符号。クライアント/サーバ セッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
サービスは、クライアント-サーバ チケットをそれ自体の秘密鍵によって復号し、識別のために、受信したタイムスタンプに1を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバ セッション キーで暗号化されます。 クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。
HP SMH Kerberos認証HP SMHは、Kerberos シングル サインオン(SSO)を提供します。これによって、Kerberos領域のユーザが[Sign In]ページにユーザ名およびパスワードを入力することなくログインすることができます。許可されたユーザがHP SMHにアクセスし、有効なKerberos証明書を持っている場合は、ホーム ページがHP SMH内に表示されます。
Kerberos認証は、HP SMH内の特別なURL /proxy/Kerberosを使用して行われます。このURLにアクセスすることで、SMHは要求内にKerberos証明書を検索し、ユーザ認証を実行します。 ユーザが有効なKerberos証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サイン イン]ページが表示され、エラー メッセージが表示されます。たとえば、認証に関わるマシン間のクロック スキューが大きすぎる場合は、エラー メッセージが表示され、[サイン イン]ページに移動されます。 Kerberos認証は、次のローカル アクセス状況では動作しません。 KDC(AD)がインストールされたマシンからHP SMHにアクセスする HP SMHがインストールされたマシンからHP SMHにアクセスする
Kerberos認証は、次の表にある理由によって失敗します。 表 1 エラー メッセージ 状況 | HTTPエラー コード | メッセージ |
---|
ユーザにKerberos証明書がない。 | 401 | ERROR:Kerberos login failure; Authorization Required. | ユーザはKerberos証明書を持っているが、マシン間のクロック スキューが大きすぎる。 | 505 | ERROR:Kerberos login failure; Internal Server Error. | ユーザはKerberos証明書を持っていてマシン間のクロック スキューは制限内だが、SMH設定ファイル内の許可されたKerberosユーザ リストにユーザがない。 | 401 | ERROR:Kerberos login failure; Authorization Required. |
認証エラーが発生すると、システム管理者は、SMH HTTPサーバ エラー ログを確認してエラーについての情報を入手する必要があります。 たとえば、マシン間のクロック スキューが大きすぎる場合は、次のログ メッセージが書き込まれます。[Mon Feb 11 13:18:37 2008] [error] [client 192.168.182.145] mod_spnego:gss_accept_sec_context failed; GSS-API mechanism:Clock skew too great. 以下のレベルのユーザ権限を利用できます。 管理者 ― [管理者]アクセス権を持つユーザは、HP SMHによって提供されるすべての情報を表示できます。該当するデフォルトのユーザ グループ(Windowsオペレーティング システムでは[管理者]、HP-UXおよびLinuxではroot)は、常に、管理者アクセス権を持ちます。 オペレータ ― [オペレータ]アクセス権を持つユーザは、HP SMHによって提供されるほとんどの情報を表示し、設定することができます。一部のWebアプリケーションでは、最も重要な情報へのアクセスが[管理者]のみに制限されています。 ユーザ ― [ユーザ]アクセス権を持つユーザは、HP SMHによって提供されるほとんどの情報を表示できます。一部のWebアプリケーションでは、重要な情報の表示が、[ユーザ]アクセス権を持つユーザに対して制限されています。
Kerberosを有効化または無効化したり、許可されたKerberosユーザ リストにユーザを追加したりするには、アクセスのレベルごとに以下の手順を行います。
Kerberosのサポートは、ユーザごとに提供されます。
Kerberos管理者 Kerberos管理者を追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupで名前を入力します。 英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[管理者]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、管理者アクセス権を続けて追加することができます。 [適用]をクリックします。
Kerberos管理者を削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスをクリックします。 [削除]をクリックします。 [適用]をクリックします。
Kerberosオペレータ Kerberosオペレータを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[オペレータ]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、オペレータ アクセス権を続けて追加することができます。 [適用]をクリックします。
Kerberosオペレータを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。 [削除]をクリックします。 [適用]をクリックします。
Kerberosユーザ Kerberosユーザを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[User]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、ユーザ アクセス権を続けて追加することができます。 [適用]をクリックします。
Kerberosユーザを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名e]の横のチェックボックスを選択します。 [削除]をクリックします。 [適用]をクリックします。
関連手順
関連項目
|