Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS CIFS Version 1.2 ECO1: 管理者ガイド

第4章 Kerberos のサポート

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
第1章:HP CIFS Server について
第2章:インストールおよび構成
第3章:導入モデル
第4章:Kerberosのサポート
第5章:LDAP統合のサポート
第6章:ユーザーおよびグループのマッピング
第7章:WINBINDのサポート
第8章:ユーザー,グループおよびアカウントのポリシーと信頼の管理
第9章:共有の管理
第10章:ファイルおよび印刷のセキュリティ
第11章:ツール・リファレンス
第12章:性能に関する考慮と問題解決のテクニック
第13章:SMB.CONF パラメータ
付録A:インストールの実行例
索引
PDF
OpenVMS ホーム
ここから本文が始まります

Kerberosプロトコルは,IETF RFC 1510で規定されています。 Kerberosは,MicrosoftによってWindows 2000に採用され,Windows 2000/2003ドメイン(および,これらのドメイン内に存在するWindows 2000/XPクライアントも含む)ではデフォルトの認証プロトコルになっています。 HP CIFS Serverでは,Kerberos認証は,Windows 2000/2003ドメインでのサーバーメンバーシップの認証にだけ使われ,またHP CIFS Serverに"security = ads"を構成している場合にだけ使われます。

この章では,Kerberos についての概要と, HP CIFS Server が Kerberos セキュリティプロトコルを利用する 他の OpenVMS アプリケーションと共存している場合にも適用できる 各種の Kerberos 構成情報について説明します。

この章では,次の内容について説明します。

4.1 Kerberos の概要

Kerberosは,認証者,認証対象者,および認証対象者がアクセスする必要があるリソース間で使われる鍵を複合化するために,共有シークレットと暗号化を利用する認証プロトコルです。HP CIFS Serverの場合に該当するのは以下のとおりです。

  • Windows Key Distribution Center (KDC): 認証者

  • Windowsクライアント: 認証対象者

  • HP CIFS Server: リソース

CIFS 関連の Kerberos の情報については,HP のホワイトペーパー 『HP CIFS Server and Kerberos』を参照してください。: http://docs.hp.com/en/netcom.html

プロトコル交換では,実際に回線上でパスワードが渡されるわけではないので,パスワードを傍受して復号化され,リソースへのアクセスに使われることはありません。回線上で渡されるのは暗号化された鍵であり,3つのプリンシパル(KDC,Windowsクライアント,CIFSサーバー)のそれぞれが,定義済みのシークレットを使って鍵を複合化して,アクセスを許可します。シークレットが送信されることはありません。交換における主要なコンポーネントは,以下のとおりです。

  • Windows Key Distribution Center (KDC): ドメインでのKerberosの中央認証局

  • 長期鍵: クライアントのパスワードから計算される固定鍵

  • セッション鍵: 期限切れになるまで認証で使われる短期鍵

  • チケット認可チケット(TGT): クライアントがTGSからサービスチケットを取得できるように,KDCへのアクセスを許可する

  • チケット認可サービス(TGS): クライアントがCIFSサーバーのサービスにアクセスできるようにする交換機能

  • 認証サービス: クライアントのKDCへのアクセスを実際に許可する交換機能

Microsoftの Kerberos 実装に関するホワイトペーパーについては,以下のWebサイトを参照してください。

http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/kerbers.mspx

4.2 Kerberos の CIFS 認証の例

図 4-1 Kerberos 認証環境

Kerberos 認証環境

ここでは,図 4-1 「Kerberos 認証環境」 に示すWindows 2000/2003ドメイン環境でのKerberos認証で使われる,典型的なKerberosのログオンおよび共有サービス交換について説明します。

  1. Windowsクライアントは,ユーザがnetlogonコマンドを実行したときに,プリンシパル名とパスワードを認証サーバー(AS)に送信します。

  2. ASはプリンシパルが正当であることを確認すると,チケット認可チケット(TGT)と,Windows KDCへのアクセスをクライアントに許可する関連付けられたセッション鍵を含む,資格証明をWindowsクライアントに送信します。

  3. Windowsクライアントは,セッション鍵とTGTを使って,チケット認可サービス(TGS)に対して共有サービスのためのサービスチケットを要求します。

  4. TGSは,Windowsクライアントに対して,サービスチケットとその他の情報を送信します。

  5. Windowsクライアントは,サービスチケットをHP CIFS Serverに送信して,共有サービスを要求します。

  6. HP CIFS Serverは受信した情報を確認し,サーバーの共有へのアクセスをWindowsクライアントに許可します。

Kerberos 認証を使用するように HP CIFS Server を構成した場合,TESTPARAM ユーティリティを実行すると次のようなパラメータ値が表示されます。

[global]
workgroup = MYREALM
realm = MYREALM.HP.COM
netbios name = atcux5
server string = Samba Server 
security = ADS
password server = HPWIN2K3.MYREALM.HP.COM

これらのパラメータ値は,HP CIFS Server の keytab の構成に使用されます。 設定した構成は,HP CIFS Server を起動し,クライアントでドメインへログオンし,HP CIFS 共有をマウントすることにより有効になります。

注記: OpenVMS のインストール時に Kerberos を構成するかどうかは任意ですが,HP CIFS Server で Kerberos 認証をサポートするためにはシステムに Kerberos キットがインストールされていることが必須になります。
印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2011 Hewlett-Packard Development Company, L.P.