Kerberos 設定の管理

「Kerberos 設定の管理」タスクは、Windows ドメイン ログイン設定(Kerberos)に関する情報を表示します。このタスクは、Kerberos キータブ ファイルのインストールおよび Kerberos 設定の確認に使用します。
gateway91
Kerberos 設定の管理
」タスクは、Windows ドメイン ログイン設定(Kerberos)に関する情報を表示します。このタスクは、Kerberos キータブ ファイルのインストールおよび Kerberos 設定の確認に使用します。
このタスクが設定ワークフロー内のどこに収まるかを確認するには、「Gateway で Kerberos トークン ベースの認証を設定」の図を参照してください。
Kerberos 設定を管理する方法
  1. Policy Manager で、メイン メニュー(ブラウザ クライアントでは、[Manage]メニュー)から
    [Tasks]-[Users and Authentication]-[Manage Kerberos Configuration]
    を選択します。[Kerberos Configuration]ダイアログ ボックスが表示されます。
  2. 以下の表では、この設定ダイアログ ボックスの各設定およびコントロールについて説明します。
    フィールド
    説明
    Valid
    キータブのステータスを表示します。
    • Yes
      = 有効なキータブ ファイルがロードされています
    • No
      = 有効なキータブ ファイルはロードされていません
    • "-" = キータブ ファイルがロードされていますが、有効ではありません
    サマリ
    Kerberos 設定の状態を要約します。メッセージは次のいずれかです。
    Keytab file not present(キータブ ファイルが存在しない)
    Keytab file is invalid (キータブ ファイルが無効)
    Authentication failed (認証に失敗した)
    Authentication successful (認証に成功した)
    Checking configuration... (設定を確認中)
    Updating configuration... (設定を更新中)
    注:
    Gateway バージョン 10 CR1 で利用可能です。メッセージ「
    Authentication failed....Could not login 'Message stream modified (41)
    」が表示された場合、
    /opt/SecureSpan/JDK/jre/lib/security/java.security
    ファイルの
    sun.security.krb5.disableReferrals
    プロパティを
    true
    に設定します。
    Automatically Validate Keytab
    対応する KDC に対してキータブ プリンシパルを検証するには、このチェック ボックスをオンにします。この検証は、次の場合に自動的に実行されます。
    • [Kerberos Configuration]ダイアログ ボックスが表示された
    • 新しいキータブがロードされた
    自動的にキータブを検証しないようにするには、このチェック ボックスをオフにします。この場合、[
    Validate Keytab
    ]をクリックするまで、検証ステータスまたはサマリは表示されません。
    Keytab details:
    KDC
    Key Distribution Center
    Realm
    保護されたネットワークの識別子
    Principal Name
    サービス(Gateway クラスタ)識別子
    Date
    キータブ日付(存在する場合)
    Version
    キータブ バージョン番号 1-X
    Encryption
    キータブ アルゴリズム(rc4-hmac、des-cbc-md5 など)
    Keytab configuration controls
    :
    Load Keytab
    Gateway データベースにキータブ ファイルを直接ロードします。アップロードするキータブ ファイルを選択して、[
    OK
    ]をクリックして確定します。
    自動検証が有効な場合、このキータブはロード時に検証されます。無効な場合、[
    Validate Keytab
    ]を使用して検証をトリガする必要があります。
    キータブ ファイルを作成する方法の詳細については、「Windows ドメイン ログインでの Gateway の使用」を参照してください。複数のプリンシパルを使用する場合は、複数のプリンシパルで設定されたキータブを選択してください。
    (1) キータブ ファイルはアップロードされるとダウンロードできなくなるので、キータブ ファイルのバックアップが存在していることを確認します。(2) ここにキータブ ファイルをロードすると、すべての既存のキータブ ファイルが上書きされます。
    Delete Keytab
    ロードしたキータブ ファイルを削除します。キータブ ファイルの削除は永久的で、大きな影響がある場合があるため、初めに
    [To enable [OK] ...]
    チェック ボックスをオンにしないと、
    [OK]
    をクリックできません。
    キータブ ファイルを別のキータブ ファイルと置換するだけの場合、[
    Load Keytab
    ]を使用すれば、古いキータブ ファイルを削除する必要はありません。
    Validate Keytab
    対応する KDC に対してキータブを検証します。結果が上の[Summary]に表示されます。キータブが無効な場合、メッセージが表示されます。
    [Automatically Validate Keytab]
    チェック ボックスがオンになっている場合、
    [Validate Keytab]
    をクリックする必要はありません。
  3. 完了したら
    [Close]
    をクリックします。
デフォルト レルムおよび krb5.conf ファイルについて
Kerberos 設定の管理タスクを使用してキータブをロードすると、Gateway は自動的に
krb5.conf
ファイルを生成して以下のディレクトリに配置します。
/opt/SecureSpan/Gateway/node/default/var
Gateway は、キータブ ファイル内の最初のサービス プリンシパルはデフォルトのレルムとして使用します。たとえば、キータブ ファイルには以下のサービス プリンシパルが含まれます。
KVNO Principal
---- ------------------------------------
2 http/[email protected]
4 http/[email protected]
3 http/[email protected]
この例に基づくと、「ACMECORP.COM」は
krb5.conf
ファイル内のデフォルトのレルムとして使用されます。
(1)必要に応じて、
krb5.conf
ファイルを手動で編集できます。(2)クラスタ プロパティ
kerberos.krb5Config.overwrite
は、Gateway が Kerberos 設定中に既存の
krb5.conf
ファイルを上書きするかどうかを制御します。