Kerberos 認証用のポリシー サーバの設定
以下の図は、プロキシ サーバの設定の概要を示しています。
sm1252sp1jjp
以下の図は、プロキシ サーバの設定の概要を示しています。

ポリシー サーバをセットアップし、Kerberos 認証方式を設定するには、以下のタスクが必要です。この設定は、Windows および UNIX に適用されます。各プラットフォームの相違点に関する注記があります。
3
ポリシー サーバのインストールおよび設定
- ポリシー サーバをインストールし設定します。
- ポリシー ストア ディレクトリ サービスをインストールし設定します。
- ユーザ ディレクトリを作成します。
- ユーザ ディレクトリで、ユーザを作成します(たとえば testkrb)。
詳細については、ポリシー サーバのインストールおよび設定の手順を参照してください。
エージェント設定オブジェクトの設定
エージェント設定オブジェクト(ACO)は、Web エージェントの構成を定義します。ポリシー サーバで ACO を設定します。
以下の手順に従います。
- 管理 UI にログインします。
- [インフラストラクチャ]-[エージェント設定]をクリックします。
- エージェントを作成するか、既存のエージェントを変更します。
- ACO に以下の 3 つのパラメータを追加します。
- KCCExtKerberos 認証情報コレクタ(KCC)に対して、MIME タイプ マッピングを指定します。値:.kcc
- SmpsServicePrincipalポリシー サーバ プリンシパル名を指定します。例:[email protected]ACO のサービス プリンシパル名は、Kerberos 名ではありません。これは汎用セキュリティ サービス API (GSS-API)名であり、GSS-API 形式である必要があります。この名前をポリシー サーバ サービス プリンシパル名と混同しないでください。
Kerberos 認証方式のセットアップ
この認証方式は、Kerberos 認証で保護するリソースに割り当てられます。 この手順では、正常に機能する Kerberos セットアップがあることを前提としています。
以下の手順に従います。
- 管理 UI にログオンします。
- [インフラストラクチャ]-[認証]を選択します。
- [認証方式]をクリックします。
- [認証方式の作成]をクリックします。
- [タイプ「認証方式」のオブジェクトの作成]が選択されていることを確認し、[OK]をクリックします。
- 名前を入力します。
- 保護レベルを入力します。デフォルトは 5 です。
- (オプション)この認証方式に対して有効なパスワード ポリシーを選択します。
- [認証方式のタイプ]リストから[Kerberos 認証テンプレート]を選択します。
- 認証方式の以下の設定に対する値を指定します。
- サーバ名:ブラウザが認証のためにユーザをリダイレクトする Web サーバの URL を指定します。例: www.example.com
- ターゲット:Kerberos 認証情報コレクタの場所を指定します。例: /siteminderagent/Kerberos/creds.kcc
- SMPS プリンシパル名:smps/[email protected]
- ユーザ DN:ポリシー サーバがユーザ ストアでユーザを検索するのを可能にするユーザ DN を入力します。例: (sAMAccountName=%{UID})
- (オプション)複数の Windows ドメインがある場合は、Kerberos レルムと Windows ドメイン間のマッピングを指定します。1 つの Kerberos レルムを多数の Windows ドメインにマップできます。[ユーザ DN の検索]フィールドで DOMAIN 変数を指定する場合、レルムとドメイン名が同じであっても、このマッピングが必要です。
- [サブミット]をクリックします。
Kerberos 認証方式が保存されます。
ユーザのアクセス ポリシーの確立
Kerberos で保護されているリソースをリクエストするユーザを認証するためのアクセス ポリシーを設定します。
以下の手順に従います。
- ポリシー ドメインを設定します。
- リソースを保護し、認証の Kerberos 認証方式をレルムに割り当てるために、レルムを追加します。
- ユーザにアクセスを許可するために、ルールおよびポリシーを追加します。この例では、ユーザは testkrb です。
詳細については、ポリシー構成の手順を参照してください。
ポリシー サーバは、Kerberos 認証をサポートするように設定されます。