ユーザーがKerberos領域でのサービスを認証する場合は、一連の手順を行って認証を実行する必要があります。クライアント(ユーザーのマシン)は、Kerberosサーバーから証明書を入手する必要があります。サーバーは、Authentication Server(AS)およびTicket Granting Server(TGS)です。
ASおよびTGSは、同じマシン上に存在し、Key Distribution Center(KDC)といわれます。
Kerberos認証手順Kerberos領域でユーザーが安全なサービスにアクセスするプロセスの概要は、次のとおりです。 このプロセスは、初期状態でユーザーがKerberos領域にログインしてKerberosで保護されたサービスに最初にアクセスをしようとするときにのみ発生します。 ユーザーは、ドメインのユーザー名およびパスワードを使用してシステム(クライアント)にログインします。 ユーザーのパスワードはハッシュされ、このハッシュがユーザーの秘密鍵になります。 ユーザーがサービスへのアクセスを試みると、メッセージが、ユーザーがそのサービスにアクセスしようとしていることをASに伝えます。 ユーザーがASデータベース内にある場合は、クライアントに2つのメッセージが返されます。 クライアント/TGSセッション キーはユーザーの秘密鍵によって暗号化され、TGSとの通信で使用されます。 Ticket-Granting Ticket(TGT)は、TGSの秘密鍵によって暗号化されます。チケットは、個人識別のためにKerberosで使用されます。TGTによって、クライアントは、ネットワーク サービスと通信するためのその他のチケットを入手できます。
これらの2つのメッセージを受信したら、クライアントは、クライアント/TGSセッション キーの含まれるメッセージを復号します。
次のプロセスは、ユーザーがサービスを認証しようとするたびに発生します。 ユーザーがサービスを要求すると、クライアントはTGSに次の2つのメッセージを送信します。 認証符号。受信済みのクライアント/TGSセッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
タイムスタンプは、Kerberosで、複製攻撃を回避するために使用されます。マシン間のクロック スキューは、特定の限度を超えることができません。 TGSは認証符号を復号し、クライアントに次の2つのメッセージを返します。 TGSから受信したクライアント-サーバー チケット 別の認証符号。クライアント/サーバー セッション キーによって暗号化されたクライアントのIDと現在のタイムスタンプから構成されます。
サービスは、クライアント-サーバー チケットをそれ自体の秘密鍵によって復号し、識別のために、受信したタイムスタンプに1を足したタイムスタンプで、メッセージをクライアントに送信します。このメッセージは、クライアント/サーバー セッション キーで暗号化されます。 クライアントは、メッセージを復号し、タイムスタンプを確認します。正しければ、サービスに要求を発行することができ、想定どおりに応答が返されます。
HP SMH Kerberos認証HP SMHは、Kerberos シングル サインオン(SSO)を提供します。これによって、Kerberos領域のユーザーが[サイン イン]ページにユーザー名およびパスワードを入力することなくログインすることができます。許可されたユーザーがHP SMHにアクセスし、有効なKerberos証明書を持っている場合は、ホーム ページがHP SMH内に表示されます。
Kerberos認証は、HP SMH内の特別なURL /proxy/Kerberosを使用して行われます。このURLにアクセスすることで、SMHは要求内にKerberos証明書を検索し、ユーザー認証を実行します。 ユーザーが有効なKerberos証明書を持っていない場合、または認証プロセス中にエラーが発生した場合は、[サイン イン]ページが表示され、エラー メッセージが表示されます。たとえば、認証に関わるマシン間のクロック スキューが大きすぎる場合は、エラー メッセージが表示され、[サイン イン]ページに移動されます。 Kerberos認証は、次のローカル アクセス状況では動作しません。 KDC(AD)がインストールされたマシンからHP SMHにアクセスする HP SMHがインストールされたマシンからHP SMHにアクセスする
認証エラーが発生すると、システム管理者は、SMH HTTPサーバー エラー ログを確認してエラーについての情報を入手する必要があります。 たとえば、マシン間のクロック スキューが大きすぎる場合は、次のログ メッセージが書き込まれます。Thu Jun 25 16:55:09 2009] [error] client 2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO (QueryContextAttributes) failed;SSPI: The function requested is not supported\r\n(-2146893054). 以下のレベルのユーザー権限を利用できます。 管理者 [管理者]アクセス権を持つユーザーは、HP SMHによって提供されるすべての情報を表示できます。該当するデフォルトのユーザー グループ(Windowsオペレーティング システムでは[administrators]、HP-UXおよびLinuxではroot)は、常に、管理者アクセス権を持ちます。 オペレーター [オペレーター]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示し、設定することができます。一部のWebアプリケーションでは、最も重要な情報へのアクセスが[管理者]のみに制限されています。 ユーザー [ユーザー]アクセス権を持つユーザーは、HP SMHによって提供されるほとんどの情報を表示できます。一部のWebアプリケーションでは、重要な情報の表示が、[ユーザー]アクセス権を持つユーザーに対して制限されています。
Kerberosを有効化または無効化したり、許可されたKerberosグループ リストにグループを追加したりするには、アクセスのレベルごとに以下の手順を行います。
Kerberosのサポートは、ユーザーごとに提供されます。
Kerberos管理者 Kerberos管理者を追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupで名前を入力します。
英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[管理者]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けて管理者アクセス権を持つグループを追加することができます。 [適用]をクリックします。
Kerberos管理者を削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスをクリックします。 [削除]をクリックします。 [適用]をクリックします。
Kerberosオペレーター Kerberosオペレーターを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[オペレーター]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けてオペレーター アクセス権を持つグループを追加することができます。 [適用]をクリックします。
Kerberosオペレーターを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。 [削除]をクリックします。 [適用]をクリックします。
Kerberosユーザー Kerberosユーザーを追加するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 [Kerberos設定]領域で、[Kerberosサポートの有効]の横のボックスを選択します。 [グループ名]テキストボックスに、group@REALMフォーマットまたはREALM\groupnameで名前を入力します。 英数字およびアンダースコアのみが使用できます。~ ' ! # $ % ^ & * ( ) + = / " : ' < > ? , | ;などの特殊文字は使用できません。 [タイプ]の横の[ユーザー]ラジオ ボタンをクリックします。 [追加]をクリックします。入力した値は、リスト テーブルの新しい行として追加されます。 手順5~7を繰り返して、続けてユーザー アクセス権を持つグループを追加することができます。 [適用]をクリックします。
Kerberosユーザーを削除するには、以下の手順に従ってください。 メニューから[設定]を選択します。 [System Management Homepage]ボックスで、[セキュリティ]リンクをクリックします。 [Kerberos認証]リンクをクリックします。 HP SMHから削除するダイナミック リストで、[グループ名]の横のチェックボックスを選択します。 [削除]をクリックします。 [適用]をクリックします。
関連手順
関連項目
|