Kerberos 認証用の Web エージェントの設定
Kerberos 認証をサポートするため、Windows または UNIX の Web サーバ上で Web エージェントを設定します。
casso1283
Kerberos 認証をサポートするため、Windows または UNIX の Web サーバ上で Web エージェントを設定します。
この図は、設定の概要を示しています。
Kerberos 用の Web エージェントの設定

以下の一般的な手順に従います。
- Web エージェントをインストールします。
- トラステッド ホストをポリシー サーバに登録します。
- Web エージェントを設定する。
Web エージェントのインストールおよび設定についての説明を参照してください。
エージェントをインストールする Web サーバが Windows システム上にあり、KDC が UNIX 上に展開されている場合は、Windows ホストが UNIX KDC およびレルムと通信できるようにします。
Kerberos 制約付き委任
Kerberos 制約付き委任では、指定されたサーバがリクエスタに代わって動作できるサービスが制限されます。
Kerberos 制約付き委任の有効化
Kerberos 委任制約を使用すると、特定の smps サービスに関連するリソースのみにアクセスが制限されるように動作を設定できます。ユーザに代わって Web エージェントが smps サービスにアクセスすることを制限するには、smps サービスの Web エージェント サービス アカウントのみで制約付き委任を有効にします。
制約付き委任を有効にする手順
Windows
- Windows Active Directory ドメインで[Active Directory ユーザーとコンピューター]を開きます。
- Web エージェント サービス アカウントを開き、[委任]タブをクリックします。
- [指定されたサービスへの委任でのみこのユーザーを信頼する]を選択し、[Kerberos のみを使う]を選択します。
- [追加]をクリックします。
- [ユーザーまたはコンピューター]をクリックします。
- smps サービス アカウント名を入力し、追加します。
- 制約付き委任が有効になります。
Linux KDC:
ポリシー サーバのみに委任された認証情報を表示できるように Web エージェント サービス アカウントに対して制約付き委任を有効にするには、/usr/krb5/kadm5.acl に以下を追加します。
dn: krbprincipalname=HTTP/[email protected],cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=comchangetype: modifykrbAllowedToDelegateTo: smps/[email protected]