Kerberos アカウントを作成する方法

Kerberosを介したドメインユーザーの認証を可能にするために、各Shieldシステム毎に作成された専用のユーザーアカウントが必要です。

この専用ユーザーには、期限切れのないパスワードが必要です。また、Kerberos事前認証メカニズムをスキップする必要があります。

ユーザーを作成するには、次の手順を実行します。

• ドメインコントローラで Active Directoryユーザーとコンピュータ を開きます。
• 操作 | 新規作成 | ユーザー メニューを選択します。
• 新しいユーザーアカウントの詳細を入力して、 次へ をクリックします。
• パスワードを設定し、 [ユーザは次回ログイン時にパスワードの変更が必要] がチェックされて いない ことを確認し、[パスワードを無期限にする]にチェックを入れます。
• ユーザーを保存した後、 アカウント タブを再度開いて選択し、 アカウント オプション で [Kerberos事前認証を必要としない]にチェックをします。

ユーザーが作成されると、Keytabファイルを生成する必要があります。 Keytabファイルには、Windows以外のマシン（この場合はシールドサーバー）がKerberosを利用できるようにする共有秘密鍵が含まれています。 キータブファイルを作成するには、

• ドメインコントローラでコマンドプロンプトを開きます。

• 管理コンソールののKerberos設定からコピーしたコマンドを使用して、キータブを作成し、ユーザ名を新しいサービス名にマッピングします（以前作成したユーザの認証情報を使用します）。　詳細は こちら ）。　または次のコマンドを使用します。

  ktpass -out <Shield Server>.<Domain>.keytab -mapUser <User> -pass <Password> -mapOp set +DumpSalt -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -princ HTTP/<Shield Server>.<Domain>@<DOMAIN>
  

  例：

  User: shield@company.local

  Password: Password1

  Domain: company.local

  Shield Server: Shieldnode

  上記で提供された詳細を例として、keytabファイルの作成に使用されるコマンドは次のようになります。

  ktpass -out Shieldnode.company.local.keytab -mapUser shield@company.local -pass Password1 -mapOp set +DumpSalt -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -princ HTTP/Shieldnode.company.local@COMPANY.LOCAL
  

  参考

  Kerberos認証にとって、ドメイン名に大文字が利用されることは重要です。（HTTP/Shieldnode.company.local@COMPANY.LOCAL） また、Shieldサーバーをプロキシとして使用するようにブラウザを設定する場合は、IPアドレスではなくFQDNを使用することも重要です。

  Keytabファイルの作成に関する詳細は、 こちら をご覧ください。