Kerberos認証を設定する

TMWSaaSオンプレミスゲートウェイにWebトラフィックを転送するユーザの認証にKerberosを使用するには、以下のように設定する必要があります。

  1. ADサーバを設定します。
  2. クライアントコンピュータを設定し、クライアントブラウザで自動認証を有効にします。
  3. ADサーバでkeytabファイルを生成します。
  4. keytabファイルをオンプレミスゲートウェイにアップロードして、TMWSaaSをリロードします。

ADサーバを設定する

ここでは、例として、Windows Server 2012でLDAP v2サーバを使用する手順を示します。Windows Server 2016および2019もサポートされます。

ADサーバでオンプレミスゲートウェイのDNSレコードを追加するには

  1. [管理ツール] > [DNS] > [前方参照ゾーン] の順に選択します。

  2. TMWSaaSと同期するADドメインの名前を右クリックし、[新しいホスト] をクリックします。

  3. 表示される [新しいホスト] 画面で、オンプレミスゲートウェイのホスト名とIPアドレスを入力します。FQDNのフィールドが自動的に入力されます。

  4. [ホストの追加] をクリックします。

ADサーバのフォワーダを設定するには

  1. [管理ツール] > [DNS] の順に選択します。

  2. ADサーバのコンピュータ名を右クリックし、[プロパティ] をクリックします。

  3. [フォワーダー] タブをクリックし、[編集] をクリックします。

  4. 表示される [フォワーダーの編集] 画面で、オンプレミスゲートウェイに対して設定したDNSサーバのIPアドレスを入力します。

  5. [OK] をクリックし、[OK] をクリックします。

クライアントコンピュータを設定する

クライアントコンピュータのDNSサーバを設定するには

  1. クライアントコンピュータでブラウザを開き、インターネット設定で [インターネット プロトコル バージョン 4 (TCP/IP4) のプロパティ] に移動します。

  2. [優先 DNS サーバー] をADサーバのIPアドレスに設定します。

  3. [OK] をクリックします。

クライアントコンピュータでIPv6を無効にするには

  1. クライアントコンピュータでブラウザを開き、インターネット設定で [インターネット プロトコル バージョン 6 (TCP/IPv6)] に移動し、チェックボックスをオフにします。

  2. [OK] をクリックします。

クライアントコンピュータをADドメインに追加するには

  1. [システムのプロパティ] に移動し、[コンピューター名] タブで [変更] をクリックします。

  2. 表示される [コンピューター名/ドメイン名の変更] 画面で、[ドメイン] を選択し、クライアントコンピュータが属するドメインの名前を入力します。

  3. [OK] をクリックし、管理者のユーザ名とパスワードを入力して確認用にもう一度入力します。

  4. クライアントコンピュータを再起動し、ドメインユーザのアカウント認証情報を使用してコンピュータにログオンします。

IEで自動認証を有効にするには

  1. クライアントコンピュータでInternet Explorerを開き、インターネット設定の [セキュリティ] タブに移動します。

  2. [レベルのカスタマイズ] をクリックし、[設定] 領域で [ユーザー認証] に移動します。

  3. [イントラネット ゾーンでのみ自動的にログオンする] をクリックし、[OK] をクリックします。

  4. [詳細設定] タブに移動し、[統合 Windows 認証を使用する*] が選択されているかどうかを確認します。選択されていない場合は、チェックボックスをオンにして [OK] をクリックします。

Firefoxで自動認証を有効にするには

  1. クライアントコンピュータでFirefoxを開き、アドレスフィールドに「about:config」と入力します。

  2. network.negotiate-auth.trusted-urisをダブルクリックします。

  3. 表示される画面で、オンプレミスゲートウェイのホスト名を入力し、[OK] をクリックします。

    複数のオンプレミスゲートウェイのホスト名をカンマで区切って入力できます。ADドメイン内のKerberos認証をサポートするすべてのオンプレミスゲートウェイを含めるには、「.example.com」のように先頭にドットを付けてADドメインの名前を入力します。

クライアントコンピュータのプロキシサーバを設定するには

  1. クライアントコンピュータでブラウザを開き、インターネット設定で [ローカル エリア ネットワーク (LAN) の設定] に移動します。

  2. プロキシサーバを使用するように選択し、オンプレミスゲートウェイのFQDNを [アドレス] ボックスに入力します。

    注:

    ここでオンプレミスゲートウェイのIPアドレスを設定すると、認証のネゴシエーションがNTLMにダウングレードされます。

  3. [OK] をクリックし、[OK] をクリックします。

ADサーバでkeytabファイルを生成する

ADサーバでADサービスが適切に機能していることを確認します。

  1. ADユーザ (例: test) を作成し、[パスワードを無期限にする] チェックボックスがオンになっていることを確認します。
  2. 次のコマンドを実行して、ADユーザをサーバプリンシパル名 (SPN) に関連付けます。 setspn -a HTTP/hostname.example.com test
    注:

    hostnameは、このADドメインのオンプレミスゲートウェイに対するDNSレコードで作成されたホスト名です。

    このコマンドを複数回実行することで、特定のADユーザを異なるオンプレミスゲートウェイやADドメインの複数のSPNに関連付けることができます。

    1つのSPNを複数のADユーザに関連付けることはお勧めしません。これを行うと、Kerberos認証がSPNの重複が原因で失敗する可能性があります。ユーザ認証方式は自動的にNTLMに切り替わります。

  3. 次のコマンドを実行して、SPNを追加するkeytabファイルを生成します。 ktpass -princ HTTP/hostname.example.com:8080@EXAMPLE.COM -mapuser test -pass <password of user test> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add

    tmws.keytabという名前のkeytabファイルが生成されます。

    初期設定では、keytabファイルはC:\Users\Administratorに格納されます。ファイルの格納先のパスを指定することもできます。

  4. 必要に応じて、次のコマンドを実行して別のSPNをkeytabファイルに追加します。 ktpass -princ HTTP/hostname2.example1.com:8080@EXAMPLE1.COM -mapuser test -pass <password of user test> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -in tmws.keytab
  5. 必要に応じて、keytabファイルを別のADサーバにコピーしてから手順1と2を繰り返し、次のコマンドを実行して新しいSPNを既存のkeytabファイルに追加します。 ktpass -princ HTTP/hostname3.example2.com:8080@EXAMPLE2.COM -mapuser test1 -pass <password of user test1> -out tmws.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -in tmws.keytab
  6. 次のコマンドをオンプレミスゲートウェイで実行して、必要なすべてのSPNがkeytabファイルに追加されているかどうかを確認します。 klist -k tmws.keytab

オンプレミスゲートウェイでKerberosの情報を設定する

  1. keytabファイルをオンプレミスゲートウェイの/var/iwss/にコピーします。
  2. 次のコマンドを実行してプロキシサービスをリロードし、設定を適用します。 /etc/iscan/S99ISproxy reload