HP

HP System Management Homepage

日本語
  [設定]ページ  |  セキュリティ  |  Kerberos権限手順   

Kerberos権限手順

目次
索引
製品の概要
開始するには
ソフトウェアのナビゲート
[ホーム]ページ
[設定]ページ
メニュー(HP-UXのみ)
SMHデータ ソース管理
SNMPの設定
UIオプション
UIプロパティ
ユーザ初期設定
セキュリティ
[匿名/ローカル アクセス]
[IP バインド]
[IP限定ログイン]
[ローカル サーバ証明書]
別名証明書
ポート2301
タイムアウト
[信頼モード]
[信頼済みマネジメント サーバ]
Kerberos権限手順
[ユーザ グループ]
[タスク]ページ
[ツール]ページ(HP-UXのみ)
[ログ]ページ
[Webアプリケーション]ページ
[サポート]ページ
[ヘルプ]ページ
コマンド ライン インタフェース設定
ファイルの位置
トラブルシューティング
ご注意
印刷用画面へ
用語集
ヘルプの使い方
 
 HP SMH Kerberos認証
 Kerberos管理者
 Kerberosオペレータ
 Kerberosユーザ
 関連手順
 関連項目

ユーザがKerberos領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザのマシン)は、Kerberosサーバから証明書を入手する必要があります。サーバは、Authentication Server(AS)およびTicket Granting Server(TGS)です。

ASおよびTGSは、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。

Kerberos領域でユーザが安全なサービスにアクセスするプロセスの概要は、次のとおりです。

このプロセスは、初期状態でユーザがKerberos領域にログインしてKerberosで保護されたサービスに最初にアクセスをしようとするときにのみ発生します。

  1. ユーザは、ドメインのユーザ名およびパスワードを使用してシステム(クライアント)にログインします。

  2. ユーザのパスワードはハッシュされ、このハッシュがユーザの秘密鍵になります。

  3. ユーザがサービスへのアクセスを試みると、メッセージが、ユーザがそのサービスにアクセスしようとしていることをASに伝えます。

  4. ユーザがASデータベース内にある場合は、クライアントに2つのメッセージが返されます。

    1. クライアント/TGSセッション キーはユーザの秘密鍵によって暗号化され、TGSとの通信で使用されます。

    2. Ticket-Granting Ticket(TGT)は、TGSの秘密鍵によって暗号化されます。チケットは、個人識別のためにKerberosで使用されます。TGTによって、クライアントは、ネットワーク サービスと通信するためのその他のチケットを入手できます。

  5. これらの2つのメッセージを受信したら、クライアントは、クライアント/TGSセッション キーの含まれるメッセージを復号します。

次のプロセスは、ユーザがサービスを認証しようとするたびに発生します。

  1. ユーザがサービスを要求すると、クライアントはTGSに次の2つのメッセージを送信します。

    • TGTおよび要求されたサービスからなるメッセージ

    • 認証符号。受信済みのクライアント/TGSセッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。

    タイムスタンプは、Kerberosで、複製攻撃を回避するために使用されます。マシン間のクロック スキューは、特定の限度を超えることができません。

  2. TGSは認証符号を復号し、クライアントに次の2つのメッセージを返します。

    • TGSから受信したクライアント-サーバ チケット

    • 別の認証符号。クライアント/サーバ セッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。

  3. サービスは、クライアント-サーバ チケットをそれ自体の秘密鍵によって復号し、識別のために、受信したタイムスタンプに1を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバ セッション キーで暗号化されます。

  4. クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。

HP SMH Kerberos認証

HP SMHは、Kerberos シングル サインオン(SSO)を提供します。これによって、Kerberos領域のユーザ[Sign In]ページにユーザ名およびパスワードを入力することなくログインすることができます。許可されたユーザがHP SMHにアクセスし、有効なKerberos証明書を持っている場合は、ホーム ページがHP SMH内に表示されます。

Kerberos認証は、HP SMH内の特別なURL /proxy/Kerberosを使用して行われます。このURLにアクセスすることで、SMHは要求内にKerberos証明書を検索し、ユーザ認証を実行します。

ユーザが有効なKerberos証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サイン イン]ページが表示され、エラー メッセージが表示されます。たとえば、認証に関わるマシン間のクロック スキューが大きすぎる場合は、エラー メッセージが表示され、[サイン イン]ページに移動されます。

Kerberos認証は、次のローカル アクセス状況では動作しません。

  • KDC(AD)がインストールされたマシンからHP SMHにアクセスする

  • HP SMHがインストールされたマシンからHP SMHにアクセスする

Kerberos認証は、次の表にある理由によって失敗します。

表 1 エラー メッセージ

状況HTTPエラー コードメッセージ

ユーザにKerberos証明書がない。

401ERROR:Kerberos login failure; Authorization Required.

ユーザはKerberos証明書を持っているが、マシン間のクロック スキューが大きすぎる。

505ERROR:Kerberos login failure; Internal Server Error.

ユーザはKerberos証明書を持っていてマシン間のクロック スキューは制限内だが、SMH設定ファイル内の許可されたKerberosユーザ リストにユーザがない。

401ERROR:Kerberos login failure; Authorization Required.

 

認証エラーが発生すると、システム管理者は、SMH HTTPサーバ エラー ログを確認してエラーについての情報を入手する必要があります。

たとえば、マシン間のクロック スキューが大きすぎる場合は、次のログ メッセージが書き込まれます。[Mon Feb 11 13:18:37 2008] [error] [client 192.168.182.145] mod_spnego:gss_accept_sec_context failed; GSS-API mechanism:Clock skew too great.

以下のレベルのユーザ権限を利用できます。

  • 管理者 ―  [管理者]アクセス権を持つユーザは、HP SMHによって提供されるすべての情報を表示できます。該当するデフォルトのユーザ グループ(Windowsオペレーティング システムでは[管理者]、HP-UXおよびLinuxではroot)は、常に、管理者アクセス権を持ちます。

  • オペレータ ―  [オペレータ]アクセス権を持つユーザは、HP SMHによって提供されるほとんどの情報を表示し、設定することができます。一部のWebアプリケーションでは、最も重要な情報へのアクセスが[管理者]のみに制限されています。

  • ユーザ ―  [ユーザ]アクセス権を持つユーザは、HP SMHによって提供されるほとんどの情報を表示できます。一部のWebアプリケーションでは、重要な情報の表示が、[ユーザ]アクセス権を持つユーザに対して制限されています。

Kerberosを有効化または無効化したり、許可されたKerberosユーザ リストにユーザを追加したりするには、アクセスのレベルごとに以下の手順を行います。

Kerberosのサポートは、ユーザごとに提供されます。

Kerberos管理者

Kerberos管理者を追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupで名前を入力します。

    英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。

  6. [タイプ]の横の[管理者]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、管理者アクセス権を続けて追加することができます。

  8. [適用]をクリックします。

Kerberos管理者を削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスをクリックします。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

Kerberosオペレータ

Kerberosオペレータを追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。

    英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。

  6. [タイプ]の横の[オペレータ]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、オペレータ アクセス権を続けて追加することができます。

  8. [適用]をクリックします。

Kerberosオペレータを削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

Kerberosユーザ

Kerberosユーザを追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。

    英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。

  6. [タイプ]の横の[User]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、ユーザ アクセス権を続けて追加することができます。

  8. [適用]をクリックします。

Kerberosユーザを削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名e]の横のチェックボックスを選択します。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

関連手順

 セキュリティ - [匿名/ローカル アクセス]
 セキュリティ - [IP バインド]
 セキュリティ - [IP限定ログイン]
 セキュリティ - [ローカル サーバ証明書]
 セキュリティ - 別名証明書
 セキュリティ - ポート2301
 セキュリティ - タイムアウト
 セキュリティ - [信頼モード]
 セキュリティ - [信頼済みマネジメント サーバ]
 セキュリティ - [ユーザ グループ]

関連項目

 HP System Management Homepage - [設定]ページ