ユーザーがKerberos領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザーのマシン)は、Kerberosサーバーから証明書を入手する必要があります。サーバーは、Authentication Server(AS)およびTicket Granting Server(TGS)です。 ASおよびTGSは、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。 Kerberos認証手順
Kerberos領域でユーザーが安全なサービスにアクセスするプロセスの概要は、次のとおりです。 このプロセスは、初期状態でユーザーがKerberos領域にログインしてKerberosで保護されたサービスに最初にアクセスをしようとするときにのみ発生します。 ユーザーは、ドメインのユーザー名およびパスワードを使用してシステム(クライアント)にログインします。 ユーザーのパスワードはハッシュされ、このハッシュがユーザーの秘密キーになります。 ユーザーがサービスへのアクセスを試みると、メッセージが、ユーザーがそのサービスにアクセスしようとしていることをASに伝えます。 ユーザーがASデータベース内にある場合は、クライアントに2つのメッセージが返されます。 クライアント/TGSセッション キーはユーザーの秘密キーによって暗号化され、TGSとの通信で使用されます。 Ticket-Granting Ticket(TGT)は、TGSの秘密キーによって暗号化されます。チケットは、個人識別のためにKerberosで使用されます。TGTによって、クライアントは、ネットワーク サービスと通信するためのその他のチケットを入手できます。
これらの2つのメッセージを受信したら、クライアントは、クライアント/TGSセッション キーの含まれるメッセージを復号します。
次のプロセスは、ユーザーがサービスを認証しようとするたびに発生します。 ユーザーがサービスを要求すると、クライアントはTGSに次の2つのメッセージを送信します。 認証符号。受信済みのクライアント/TGSセッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
タイムスタンプは、Kerberosで、複製攻撃を回避するために使用されます。マシン間のクロック スキューは、特定の限度を超えることができません。 TGSは認証符号を復号し、クライアントに次の2つのメッセージを返します。 TGSから受信したクライアント-サーバー チケット 別の認証符号。クライアント/サーバー セッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
サービスは、クライアント-サーバー チケットをそれ自体の秘密キーによって復号し、識別のために、受信したタイムスタンプに1を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバー セッション キーで暗号化されます。 クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。
HP SMH Kerberos認証HP SMHは、Kerberos
シングル サインオン(SSO)を提供します。これによって、Kerberos領域のユーザーが[サイン イン]ページにユーザー名およびパスワードを入力することなくログインすることができます。許可されたユーザーがHP SMHにアクセスし、有効なKerberos証明書を持っている場合は、ホーム ページがHP SMH内に表示されます。
Kerberos認証は、HP SMH内の特別なURL /proxy/Kerberosを使用して行われます。このURLにアクセスすることで、SMHは要求内にKerberos証明書を検索し、ユーザー認証を実行します。 ユーザーが有効なKerberos証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サイン イン]ページが表示され、エラー メッセージが表示されます。たとえば、認証に関わるマシン間のクロック スキューが大きすぎる場合は、エラー メッセージが表示され、[サイン イン]ページに移動されます。 Kerberos認証は、次のローカル アクセス状況では動作しません。 KDC(AD)がインストールされたマシンからHP SMHにアクセスする HP SMHがインストールされたマシンからHP SMHにアクセスする
認証エラーが発生すると、システム管理者は、SMH HTTPサーバー エラー ログを確認してエラーについての情報を入手する必要があります。 たとえば、マシン間のクロック スキューが大きすぎる場合は、次のログ メッセージが記録されます。Thu Jun 25 16:55:09 2009] [error] client 2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO (QueryContextAttributes) failed; SSPI: The function requested is not supported\r\n(-2146893054)
以下のレベルのユーザー権限を利用できます。 管理者
[管理者]アクセス権を持つユーザーは、HP SMHによって提供されるすべての情報を表示できます。該当するデフォルトのユーザー グループ(Windowsオペレーティング システムでは[Administrator]、Linuxオペレーティング システムではroot)は、常に、管理者アクセス権を持ちます。 オペレーター
[オペレーター]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示し、設定することができます。一部のWebアプリケーションでは、最も重要な情報へのアクセスが[管理者]のみに制限されています。 ユーザー
[ユーザー]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示できます。一部のWebアプリケーションでは、重要な情報の表示が、[ユーザー]アクセス権を持つユーザーに対して制限されています。
Kerberosを有効化または無効化したり、許可されたKerberosグループ リストにグループを追加したりするには、アクセスのレベルごとに以下の手順を行います。
Kerberosのサポートは、ユーザーごとに提供されます。 Kerberos管理者
Kerberos管理者を追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。
[Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。
[グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupで名前を入力します。 英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;
[タイプ]の横の[管理者]ラジオ ボタンをクリックします。
[追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けて管理者アクセス権を持つグループを追加することができます。
[適用]をクリックします。
Kerberos管理者を削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスをクリックします。
[削除]をクリックします。
[適用]をクリックします。
Kerberosオペレーター
Kerberosオペレーターを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。
[Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。
[グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;
[タイプ]の横の[オペレーター]ラジオ ボタンをクリックします。
[追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けてオペレーター アクセス権を持つグループを追加することができます。
[適用]をクリックします。
Kerberosオペレーターを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。
[削除]をクリックします。
[適用]をクリックします。
Kerberosユーザー
Kerberosユーザーを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。
[Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。
[グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。次のような特殊文字は使用できません。~ ' !# $ % ^ & * ( ) + = / " : ' < > ?, | ;
[タイプ]の横の[ユーザー]ラジオ ボタンをクリックします。
[追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けてユーザー アクセス権を持つグループを追加することができます。
[適用]をクリックします。
Kerberosユーザーを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。
[System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。
[Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。
[削除]をクリックします。
[適用]をクリックします。
関連手順関連項目
|