ユーザーが Kerberos 領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザーのマシン)は、Kerberos サーバーから証明書を入手する必要があります。このサーバーは、Authentication Server(AS)および Ticket Granting Server(TGS)です。

AS および TGS は、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。

Kerberos 認証手順

Kerberos 領域でユーザーが安全なサービスにアクセスするプロセスの概要は、次のとおりです。

このプロセスは、初期状態でユーザーが Kerberos 領域にログインして Kerberos で保護されたサービスに最初にアクセスをしようとするときにのみ発生します。

次のプロセスは、ユーザーがサービスを認証しようとするたびに発生します。

  1. ユーザーがサービスを要求すると、クライアントは TGS に次の 2 つのメッセージを送信します。

    タイムスタンプは、Kerberos で、複製攻撃を回避するために使用されます。マシン間のクロックスキューは、特定の限度を超えることができません。

  2. TGS は認証符号を復号し、クライアントに次の 2 つのメッセージを返します。

  3. サービスは、クライアント-サーバーチケットをそれ自体の秘密キーによって復号し、識別のために、受信したタイムスタンプに 1 を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバーセッションキーで暗号化されます。

  4. クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。

HP SMH Kerberos 認証

HP SMH は、Kerberosシングルサインオン(SSO)を提供します。これによって、Kerberos 領域のユーザー [サインイン] ページにユーザー名およびパスワードを入力することなくログインすることができます。許可されたユーザーが HP SMH にアクセスし、有効な Kerberos 証明書を持っている場合は、ホーム ページが HP SMH 内に表示されます。

Kerberos 認証は、HP SMH 内の特別な URL /proxy/Kerberos を使用して行われます。この URL にアクセスすることで、SMH は要求内に Kerberos 証明書を検索し、ユーザー認証を実行します。

ユーザーが有効な Kerberos 証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サインイン] ページが表示され、エラーメッセージが表示されます。たとえば、認証に関わるマシン間のクロックスキューが大きすぎる場合は、エラーメッセージが表示され、[サインイン] ページに移動されます。

Kerberos 認証は、次のローカルアクセス状況では動作しません。

認証エラーが発生すると、システム管理者は、SMH HTTP サーバーエラーログを確認してエラーについての情報を入手する必要があります。

たとえば、マシン間のクロックスキューが大きすぎる場合は、次のログメッセージが書き込まれます。「Thu Jun 25 16:55:09 2009] [error] client 2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO (QueryContextAttributes) failed; SSPI: The function requested is not supported\r\n(-2146893054)

以下のレベルのユーザー権限を利用できます。

Kerberos を有効化または無効化したり、許可された Kerberos グループリストにグループを追加したりするには、アクセスのレベルごとに以下の手順を行います。

Kerberos のサポートは、ユーザーごとに提供されます。

Kerberos 管理者

Kerberos 管理者を追加するには、以下の手順に従ってください。

Kerberos 管理者を削除するには、以下の手順に従ってください。

Kerberos オペレーター

Kerberos オペレーターを追加するには、以下の手順に従ってください。

Kerberos オペレーターを削除するには、以下の手順に従ってください。

Kerberos ユーザー

Kerberos ユーザーを追加するには、以下の手順に従ってください。

Kerberos ユーザーを削除するには、以下の手順に従ってください。

関連手順

「[匿名/ローカルアクセス]」
「[IP バインド]」
「[IP 限定ログイン]」
「[ローカルサーバー証明書]」
「代理名証明書」
「ポート 2301 および自動開始(Linux のみ)」
「[タイムアウト]」
「[信頼モード]」
「[信頼された管理サーバー]」
「ユーザーグループ」

関連項目

「[設定] ページ」