Kerberos 認証用の Web エージェントの設定

Kerberos 認証をサポートするため、Windows または UNIX の Web サーバ上で Web エージェントを設定します。
casso1283
Kerberos 認証をサポートするため、Windows または UNIX の Web サーバ上で Web エージェントを設定します。
この図は、設定の概要を示しています。
Kerberos 用の Web エージェントの設定
Web Agent Configuration for Kerberos
以下の一般的な手順に従います。
  1. Web エージェントをインストールします。
  2. トラステッド ホストをポリシー サーバに登録します。
  3. Web エージェントを設定する。
Web エージェントのインストールおよび設定についての説明を参照してください。
エージェントをインストールする Web サーバが Windows システム上にあり、KDC が UNIX 上に展開されている場合は、Windows ホストが UNIX KDC およびレルムと通信できるようにします
Kerberos 制約付き委任
Kerberos 制約付き委任では、指定されたサーバがリクエスタに代わって動作できるサービスが制限されます。
Kerberos 制約付き委任の有効化
Kerberos 委任制約を使用すると、特定の smps サービスに関連するリソースのみにアクセスが制限されるように動作を設定できます。ユーザに代わって Web エージェントが smps サービスにアクセスすることを制限するには、smps サービスの Web エージェント サービス アカウントのみで制約付き委任を有効にします。
制約付き委任を有効にする手順
Windows
  1. Windows Active Directory ドメインで[Active Directory ユーザーとコンピューター]を開きます。
  2. Web エージェント サービス アカウントを開き、[委任]タブをクリックします。
  3. [指定されたサービスへの委任でのみこのユーザーを信頼する]を選択し、[Kerberos のみを使う]を選択します。
  4. [追加]をクリックします。
  5. [ユーザーまたはコンピューター]をクリックします。
  6. smps サービス アカウント名を入力し、追加します。
  1. 制約付き委任が有効になります。
Linux KDC:
ポリシー サーバのみに委任された認証情報を表示できるように Web エージェント サービス アカウントに対して制約付き委任を有効にするには、/usr/krb5/kadm5.acl に以下を追加します。
dn: krbprincipalname=HTTP/[email protected],cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com
changetype: modify
krbAllowedToDelegateTo: smps/[email protected]