ビュー:
TMWSaaSオンプレミスゲートウェイにWebトラフィックを転送するユーザの認証にKerberosを使用するには、以下のように設定する必要があります。

手順

  1. ADサーバを設定します。
  2. クライアントコンピュータを設定し、クライアントブラウザで自動認証を有効にします。
  3. ADサーバでkeytabファイルを生成します。
  4. keytabファイルをオンプレミスゲートウェイにアップロードして、TMWSaaSをリロードします。
関連情報

ADサーバを設定する

ここでは、例として、Windows Server 2012でLDAP v2サーバを使用する手順を示します。Windows Server 2016および2019もサポートされます。
ADサーバでオンプレミスゲートウェイのDNSレコードを追加するには
  1. [管理ツール][DNS][前方参照ゾーン] の順に選択します。
  2. TMWSaaSと同期するADドメインの名前を右クリックし、[新しいホスト] をクリックします。
  3. 表示される [新しいホスト] 画面で、オンプレミスゲートウェイのホスト名とIPアドレスを入力します。FQDNのフィールドが自動的に入力されます。
  4. [ホストの追加] をクリックします。
ADサーバのフォワーダを設定するには
  1. [管理ツール][DNS] の順に選択します。
  2. ADサーバのコンピュータ名を右クリックし、[プロパティ] をクリックします。
  3. [フォワーダー] タブをクリックし、[編集] をクリックします。
  4. 表示される [フォワーダーの編集] 画面で、オンプレミスゲートウェイに対して設定したDNSサーバのIPアドレスを入力します。
  5. [OK] をクリックし、[OK] をクリックします。

クライアントコンピュータを設定する

クライアントコンピュータのDNSサーバを設定するには
  1. クライアントコンピュータでブラウザを開き、インターネット設定で [インターネット プロトコル バージョン 4 (TCP/IP4) のプロパティ] に移動します。
  2. [優先 DNS サーバー] をADサーバのIPアドレスに設定します。
  3. [OK] をクリックします。
クライアントコンピュータでIPv6を無効にするには
  1. クライアントコンピュータでブラウザを開き、インターネット設定で [インターネット プロトコル バージョン 6 (TCP/IPv6)] に移動し、チェックボックスをオフにします。
  2. [OK] をクリックします。
クライアントコンピュータをADドメインに追加するには
  1. [システムのプロパティ] に移動し、[コンピューター名] タブで [変更] をクリックします。
  2. 表示される [コンピューター名/ドメイン名の変更] 画面で、[ドメイン] を選択し、クライアントコンピュータが属するドメインの名前を入力します。
  3. [OK] をクリックし、管理者のユーザ名とパスワードを入力して確認用にもう一度入力します。
  4. クライアントコンピュータを再起動し、ドメインユーザのアカウント認証情報を使用してコンピュータにログオンします。
Firefoxで自動認証を有効にするには
  1. クライアントコンピュータでFirefoxを開き、アドレスフィールドに「about:config」と入力します。
  2. network.negotiate-auth.trusted-urisをダブルクリックします。
  3. 表示される画面で、オンプレミスゲートウェイのホスト名を入力し、[OK] をクリックします。
    複数のオンプレミスゲートウェイのホスト名をカンマで区切って入力できます。ADドメイン内のKerberos認証をサポートするすべてのオンプレミスゲートウェイを含めるには、「.example.com」のように先頭にドットを付けてADドメインの名前を入力します。
クライアントコンピュータのプロキシサーバを設定するには
  1. クライアントコンピュータでブラウザを開き、インターネット設定で [ローカル エリア ネットワーク (LAN) の設定] に移動します。
  2. プロキシサーバを使用するように選択し、オンプレミスゲートウェイのFQDNを [アドレス] ボックスに入力します。
    注意
    注意
    ここでオンプレミスゲートウェイのIPアドレスを設定すると、認証のネゴシエーションがNTLMにダウングレードされます。
  3. [OK] をクリックし、[OK] をクリックします。

ADサーバでkeytabファイルを生成する

始める前に

ADサーバでADサービスが適切に機能していることを確認します。

手順

  1. ADユーザ (例: test) を作成し、[パスワードを無期限にする][このアカウントはKerberos AES 256ビット暗号化をサポートする] チェックボックスがオンになっていることを確認します。
  2. 次のコマンドを実行して、ADユーザをサーバプリンシパル名 (SPN) に関連付けます。
    setspn -a HTTP/hostname.example.com test
    注意
    注意
    hostnameは、このADドメインのオンプレミスゲートウェイに対するDNSレコードで作成されたホスト名です。
    このコマンドを複数回実行することで、特定のADユーザを異なるオンプレミスゲートウェイやADドメインの複数のSPNに関連付けることができます。
    1つのSPNを複数のADユーザに関連付けることはお勧めしません。これを行うと、Kerberos認証がSPNの重複が原因で失敗する可能性があります。ユーザ認証方式は自動的にNTLMに切り替わります。
  3. 次のコマンドを実行して、SPNを追加するkeytabファイルを生成します。
    ktpass -princ HTTP/hostname.example.com:8080@EXAMPLE.COM -mapuser test -pass <password of user test> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -crypto AES256-SHA1
    tmws.keytabという名前のkeytabファイルが生成されます。
    初期設定では、keytabファイルはC:¥Users¥Administratorに格納されます。ファイルの格納先のパスを指定することもできます。
  4. 必要に応じて、次のコマンドを実行して別のSPNをkeytabファイルに追加します。
    ktpass -princ HTTP/hostname2.example1.com:8080@EXAMPLE1.COM -mapuser test -pass <password of user test> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -in tmws.keytab -crypto AES256-SHA1
  5. 必要に応じて、keytabファイルを別のADサーバにコピーしてから手順1と2を繰り返し、次のコマンドを実行して新しいSPNを既存のkeytabファイルに追加します。
    ktpass -princ HTTP/hostname3.example2.com:8080@EXAMPLE2.COM -mapuser test1 -pass <password of user test1> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -in tmws.keytab -crypto AES256-SHA1
  6. 次のコマンドをオンプレミスゲートウェイで実行して、必要なすべてのSPNがkeytabファイルに追加されているかどうかを確認します。
    klist -k tmws.keytab

オンプレミスゲートウェイでKerberosの情報を設定する

手順

  1. keytabファイルをオンプレミスゲートウェイの/var/iwss/にコピーします。
  2. 次のコマンドを実行してプロキシサービスをリロードし、設定を適用します。
    /etc/iscan/S99ISproxy reload