HP

System Management Homepage

日本語
  [設定]ページ  |  セキュリティ  |  Kerberos認証手順(Windowsのみ)   

Kerberos認証手順(Windowsのみ)

目次
索引
製品の概要
開始するには
ソフトウェアのナビゲート
[ホーム]ページ
[設定]ページ
SMHデータ ソース管理
SNMPの設定
UIオプション
UIプロパティ
ユーザー初期設定
セキュリティ
[匿名/ローカル アクセス]
[IPバインド]
[IP限定ログイン]
[ローカル サーバー証明書]
代理名証明書
ポート2301と自動開始(Linuxのみ)
ポート2301(Windowsのみ)
[タイムアウト]
[信頼モード]
[信頼済みマネジメント サーバー]
Kerberos認証手順(Windowsのみ)
ユーザー グループ
[タスク]ページ
[ログ]ページ
[Webアプリケーション]ページ
[サポート]ページ
[ヘルプ]ページ
ご注意
用語集
ヘルプの使い方

ユーザーがKerberos領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザーのマシン)は、Kerberosサーバーから証明書を入手する必要があります。サーバーは、Authentication Server(AS)およびTicket Granting Server(TGS)です。

ASおよびTGSは、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。

Kerberos認証手順

Kerberos領域でユーザーが安全なサービスにアクセスするプロセスの概要は、次のとおりです。

このプロセスは、初期状態でユーザーがKerberos領域にログインしてKerberosで保護されたサービスに最初にアクセスをしようとするときにのみ発生します。

  1. ユーザーは、ドメインのユーザー名およびパスワードを使用してシステム(クライアント)にログインします。

  2. ユーザーのパスワードはハッシュされ、このハッシュがユーザーの秘密キーになります。

  3. ユーザーがサービスへのアクセスを試みると、メッセージが、ユーザーがそのサービスにアクセスしようとしていることをASに伝えます。

  4. ユーザーがASデータベース内にある場合は、クライアントに2つのメッセージが返されます。

    1. クライアント/TGSセッション キーはユーザーの秘密キーによって暗号化され、TGSとの通信で使用されます。

    2. Ticket-Granting Ticket(TGT)は、TGSの秘密キーによって暗号化されます。チケットは、個人識別のためにKerberosで使用されます。TGTによって、クライアントは、ネットワーク サービスと通信するためのその他のチケットを入手できます。

  5. これらの2つのメッセージを受信したら、クライアントは、クライアント/TGSセッション キーの含まれるメッセージを復号します。

次のプロセスは、ユーザーがサービスを認証しようとするたびに発生します。

  1. ユーザーがサービスを要求すると、クライアントはTGSに次の2つのメッセージを送信します。

    • TGTおよび要求されたサービスからなるメッセージ

    • 認証符号。受信済みのクライアント/TGSセッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。

    タイムスタンプは、Kerberosで、複製攻撃を回避するために使用されます。マシン間のクロック スキューは、特定の限度を超えることができません。

  2. TGSは認証符号を復号し、クライアントに次の2つのメッセージを返します。

    • TGSから受信したクライアント-サーバー チケット

    • 別の認証符号。クライアント/サーバー セッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。

  3. サービスは、クライアント-サーバー チケットをそれ自体の秘密キーによって復号し、識別のために、受信したタイムスタンプに1を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバー セッション キーで暗号化されます。

  4. クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。

HP SMH Kerberos認証

HP SMHは、Kerberos シングル サインオン(SSO)を提供します。これによって、Kerberos領域のユーザー[サイン イン]ページにユーザー名およびパスワードを入力することなくログインすることができます。許可されたユーザーがHP SMHにアクセスし、有効なKerberos証明書を持っている場合は、ホーム ページがHP SMH内に表示されます。

Kerberos認証は、HP SMH内の特別なURL /proxy/Kerberosを使用して行われます。このURLにアクセスすることで、SMHは要求内にKerberos証明書を検索し、ユーザー認証を実行します。

ユーザーが有効なKerberos証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サイン イン]ページが表示され、エラー メッセージが表示されます。たとえば、認証に関わるマシン間のクロック スキューが大きすぎる場合は、エラー メッセージが表示され、[サイン イン]ページに移動されます。

Kerberos認証は、次のローカル アクセス状況では動作しません。

  • KDC(AD)がインストールされたマシンからHP SMHにアクセスする

  • HP SMHがインストールされたマシンからHP SMHにアクセスする

認証エラーが発生すると、システム管理者は、SMH HTTPサーバー エラー ログを確認してエラーについての情報を入手する必要があります。

たとえば、マシン間のクロック スキューが大きすぎる場合は、次のログ メッセージが記録されます。Thu Jun 25 16:55:09 2009] [error] client 2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO (QueryContextAttributes) failed; SSPI: The function requested is not supported\r\n(-2146893054)

以下のレベルのユーザー権限を利用できます。

  • 管理者   [管理者]アクセス権を持つユーザーは、HP SMHによって提供されるすべての情報を表示できます。該当するデフォルトのユーザー グループ(Windowsオペレーティング システムでは[Administrator]、Linuxオペレーティング システムではroot)は、常に、管理者アクセス権を持ちます。

  • オペレーター   [オペレーター]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示し、設定することができます。一部のWebアプリケーションでは、最も重要な情報へのアクセスが[管理者]のみに制限されています。

  • ユーザー   [ユーザー]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示できます。一部のWebアプリケーションでは、重要な情報の表示が、[ユーザー]アクセス権を持つユーザーに対して制限されています。

Kerberosを有効化または無効化したり、許可されたKerberosグループ リストにグループを追加したりするには、アクセスのレベルごとに以下の手順を行います。

Kerberosのサポートは、ユーザーごとに提供されます。

Kerberos管理者

Kerberos管理者を追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupで名前を入力します。

    英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;

  6. [タイプ]の横の[管理者]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、続けて管理者アクセス権を持つグループを追加することができます。

  8. [適用]をクリックします。

Kerberos管理者を削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスをクリックします。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

Kerberosオペレーター

Kerberosオペレーターを追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。

    英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;

  6. [タイプ]の横の[オペレーター]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、続けてオペレーター アクセス権を持つグループを追加することができます。

  8. [適用]をクリックします。

Kerberosオペレーターを削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

Kerberosユーザー

Kerberosユーザーを追加するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。

  5. [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。

    英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;

  6. [タイプ]の横の[ユーザー]ラジオ ボタンをクリックします。

  7. [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。

    手順5~7を繰り返して、続けてユーザー アクセス権を持つグループを追加することができます。

  8. [適用]をクリックします。

Kerberosユーザーを削除するには、以下の手順に従ってください。

  1. メニューから[設定]を選択します。

  2. [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。

  3. [Kerberos認証]リンクをクリックします。

  4. HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。

  5. [削除]をクリックします。

  6. [適用]をクリックします。

関連手順

  HP System Management Homepageオンライン ヘルプ - [匿名/ローカル アクセス]
  HP System Management Homepageオンライン ヘルプ - [IPバインド]
  HP System Management Homepageオンライン ヘルプ - [IP限定ログイン]
  HP System Management Homepageオンライン ヘルプ - [ローカル サーバー証明書]
  HP System Management Homepageオンライン ヘルプ - 代理名証明書
  HP System Management Homepageオンライン ヘルプ - ポート2301と自動開始(Linuxのみ)
  HP System Management Homepageオンライン ヘルプ - [タイムアウト]
  HP System Management Homepageオンライン ヘルプ - [信頼モード]
  HP System Management Homepageオンライン ヘルプ - [信頼済みマネジメント サーバー]
  HP System Management Homepageオンライン ヘルプ - ユーザー グループ

関連項目

  HP System Management Homepageオンライン ヘルプ - [設定]ページ