Kerberos 認証用のポリシー サーバの設定

以下の図は、プロキシ サーバの設定の概要を示しています。
casso126jjp
以下の図は、プロキシ サーバの設定の概要を示しています。
Policy Server Configuration for Kerberos
 
ポリシー サーバをセットアップし、Kerberos 認証方式を設定するには、以下のタスクが必要です。この設定は、Windows および UNIX に適用されます。各プラットフォームの相違点に関する注記があります。
3
ポリシー サーバのインストールおよび設定
  1. ポリシー サーバをインストールし設定します。
  2. ポリシー ストア ディレクトリ サービスをインストールし設定します。
  3. ユーザ ディレクトリを作成します。
  4. ユーザ ディレクトリで、ユーザを作成します(たとえば testkrb)。
詳細については、ポリシー サーバのインストールおよび設定の手順を参照してください。
エージェント設定オブジェクトの設定
エージェント設定オブジェクト(ACO)は、Web エージェントの構成を定義します。ポリシー サーバで ACO を設定します。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [インフラストラクチャ]-[エージェント設定]をクリックします。
  3. エージェントを作成するか、既存のエージェントを変更します。
  4. ACO に以下の 3 つのパラメータを追加します。
    • KCCExt
      Kerberos 認証情報コレクタ(KCC)に対して、MIME タイプ マッピングを指定します。
      値:
      .kcc
    • SmpsServicePrincipal
      ポリシー サーバ プリンシパル名を指定します。
      例:
      [email protected]
      ACO のサービス プリンシパル名は、Kerberos 名ではありません。これは汎用セキュリティ サービス API (GSS-API)名であり、GSS-API 形式である必要があります。この名前をポリシー サーバ サービス プリンシパル名と混同しないでください。
    • HttpServicePrincipal
      Web サーバ プリンシパル名を指定します。
      例:
      HTTP/[email protected]
Kerberos 認証方式のセットアップ
この認証方式は、Kerberos 認証で保護するリソースに割り当てられます。 この手順では、正常に機能する Kerberos セットアップがあることを前提としています。 
以下の手順に従います。
  1. 管理 UI にログオンします。
  2. [インフラストラクチャ]-[認証]を選択します。
  3. [認証方式]をクリックします。
  4. [認証方式の作成]をクリックします。
  5. [タイプ「認証方式」のオブジェクトの作成]が選択されていることを確認し、[OK]をクリックします。
  6. 名前を入力します。
  7. 保護レベルを入力します。デフォルトは 5 です。
  8. (オプション)この認証方式に対して有効なパスワード ポリシーを選択します。
  9. [認証方式のタイプ]リストから[Kerberos 認証テンプレート]を選択します。
  10. 認証方式の以下の設定に対する値を指定します。
    • サーバ名:
      ブラウザが認証のためにユーザをリダイレクトする Web サーバの URL を指定します。
      例: www.example.com
    • ターゲット:
      Kerberos 認証情報コレクタの場所を指定します。例: /siteminderagent/Kerberos/creds.kcc
    • SMPS プリンシパル名:
      smps/[email protected]
    • ユーザ DN:
      ポリシー サーバがユーザ ストアでユーザを検索するのを可能にするユーザ DN を入力します。例: (sAMAccountName=%{UID})
  11. (オプション)複数の Windows ドメインがある場合は、Kerberos レルムと Windows ドメイン間のマッピングを指定します。1 つの Kerberos レルムを多数の Windows ドメインにマップできます。[ユーザ DN の検索]フィールドで DOMAIN 変数を指定する場合、レルムとドメイン名が同じであっても、このマッピングが必要です。
  12. [サブミット]をクリックします。
Kerberos 認証方式が保存されます。
ユーザのアクセス ポリシーの確立
Kerberos で保護されているリソースをリクエストするユーザを認証するためのアクセス ポリシーを設定します。
以下の手順に従います。
  1. ポリシー ドメインを設定します。
  2. リソースを保護し、認証の Kerberos 認証方式をレルムに割り当てるために、レルムを追加します。
  3. ユーザにアクセスを許可するために、ルールおよびポリシーを追加します。この例では、ユーザは testkrb です。
詳細については、ポリシー構成の手順を参照してください。
ポリシー サーバは、Kerberos 認証をサポートするように設定されます。