Loading...

ナレッジセンター


Kerberosとの連携設定
技術的な記事 ID:  KB80689
最終更新:  2014/02/14

環境

 

概要

本Q&AではKerberos認証を利用したMcAfee Web Gateway(以下MWG)との連携設定方法を説明します。

 

■Kerberos Keytabファイルの作成

※本手順はMicrosoft Active Directory(以下 AD)でのKeytabファイル作成手順となります。詳細についてはMicrosoft社へお問い合わせください。
その他のOSでの手順は各提供元へお問い合わせください。

  1. アプライアンスに対応するActive Directoryユーザーを作成する為に「Active Directoryユーザーとコンピュータ」を開きます。
    1. ユーザーを作成するドメイン名を選択し、右クリックから「新規作成」→「ユーザー」を選択します。
    2. ユーザーの 名前 (例: mwg-kerb-user) および ユーザー ログオン名 (例: mwg—kerb-user) を入力し、「次へ] をクリックします。
    3. 「ユーザーはパスワードを変更できない」 および 「アカウントのパスワードを無期限にする」を選択します。
    4. 他のすべてのオプションの選択を解除します。「パスワード」 を入力して確認し、「次へ」をクリックします。
    5. 「完了」をクリックします。
  2. ktpass ユーティリティを取得します。 ※新しいバージョンのktpassがリリースされている場合には最新のものをご利用ください。

    Windows 2003:

    Windows 2003のサポート ツールから入手できます。
    サポート ツールをインストールするには、Windows 2003 のソフトウェア CD が必要です。ファイルは以下の場所にあります。

    \Support\Tools\suptools.msi (Windows 2003)

    Windows 2008:

    デフォルトでインストールされています。

  3. Active Directoryサーバー上で ktpass を使用してKeytabファイルを作成します。

    <Keytabファイル作成手順>

    1. Windows コマンド プロンプトにて、以下のようにコマンドを入力します。

      Windows 2003:

      ktpass -princ HTTP/[fqdn-of-appliance_lowercase]@[DOMAIN_UPPERCASE] -mapuser [USERNAME] -pass [PASSWORD] -ptype KRB5_NT_PRINCIPAL –out [OUTPUT-FILENAME].keytab

      入力例)

      ktpass -princ HTTP/mandarin.vegas.local@VEGAS.LOCAL -mapuser mwg-kerb-user -pass password -ptype KRB5_NT_PRINCIPAL -out mandarin.vegas.local.keytab

      Windows 2008:

      ktpass -princ HTTP/[fqdn-of-appliance_lowercase]@[DOMAIN_UPPERCASE] -mapuser [USERNAME] -pass [PASSWORD] -ptype KRB5_NT_PRINCIPAL -crypto All -out [OUTPUT-FILENAME].keytab

      入力例)

      ktpass -princ HTTP/mandarin.vegas.local@VEGAS.LOCAL -mapuser mwg-kerb-user -pass password -ptype KRB5_NT_PRINCIPAL -crypto All -out mandarin.vegas.local.keytab

    2. Keytabファイルが生成されると以下のように結果が表示されます。

      ※出力結果の赤枠内の情報は複数のSPN(Service Principal name)をマップする場合に必要となります。

      手順についてはこちら(DOC-2682)の「Mapping multiple SPNs to one user/keytab」をご参照ください。

      Windows 2003:

      Windows 2008:

    3. Ktpassと同じディレクトリにKeytabファイル(上記例ではmandarin.vegas.local.keytab)が生成されていることを確認します。
■MWGとの連携設定
Keytabファイルのアップロード:
  1. [Configuration]- [Appliances] - [Kerberos Administration] へ移動します。
  2. Browse ボタンをクリックして、作成したKeytabファイルを選択します。

  3. 「Save Changes」をクリックします。 ※アップロードが完了しても特にメッセージは表示されませんのでご了承ください。
Kerberos認証設定:
  1. [Policy]- [Settings] - [Engines] – [Authentication] へ移動します。
  2. 「Add」 ボタンをクリックします。
  3. 「Authentication method」にて「Kerberos」を選択します。

    ※NTLMを使用してユーザーグループを参照させる場合には以下のオプションにそれぞれチェックを入れてください。
    NTLM参照を利用するには後述の「NTLMを利用したグループ参照設定」が必要となります。

    ・Extract group membership IDs from the ticket
    Lookup group names via NTLM

  4. 「OK」、「Save Changes」をクリックして設定を反映します。
NTLMを利用したグループ参照設定 (v7.2以降のバージョンで利用可能):

※グループ参照にLDAPを利用する場合はこちら(DOC-2682)の「Getgroups with LDAP (skip if using NTLM)」をご参照ください。

  1. [Configuration]- [Appliances] - [Windows Domain Membership] へ移動します。
  2. 「Join」 ボタンをクリックし、ドメイン名やMWGのホスト名等、必要項目を入力し、「OK」をクリックします。
  3. 「Status」 が緑色になっていることを確認します。 ※赤くなっている場合には何らかの問題が発生していることを示しますので設定や通信状況をご確認ください。
プロキシ認証(ルール)設定:

設定手順は、下記Q&Aをご参照ください。 ※利用するデータベースは上述の「Kerberos認証設定」で作成した設定を指定してください。
KB80691: プロキシ認証の設定手順 (v7.1以降)

※注意事項

Kerberos認証を利用する場合には、ドメインコントローラ、MWG、クライアントPCの時刻を同期しておく必要があります。
時刻設定がずれていると認証が正常に行われない場合があります。
その為、NTPサーバーの利用を強く推奨いたします。

参考情報:

Web Filteringやポリシーに関する概要は以下のQ&Aをご参照ください。
KB80697: Web Filtering機能について

本記事作成時の最新リリースバージョン:Main Release 7.2.0.8(14873)

動画チュートリアル

 

問題

 

システムの変更

 

原因

 

解決策

 

回避策

 

以前のドキュメント ID

WG13041901

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.