Kerberos KDC 認証と基本認証

この認証方法は、ユーザーを Kerberos キー配布センター (Key Distribution Center - KDC) に照会して自動的に認識します。そのため、ブラウザを介して Web Gateway に接続する際に、認証情報を入力する必要はありません。ユーザーのブラウザが Kerberos を使用して認証できない場合は基本認証が試行され、ユーザー名とパスワードの入力が求められます。

認証の構成

  1. [システム センター ホーム] ページの [プロキシの設定] > [認証設定] を選択します。
  2. [ユーザー認証は有効です / 無効です] と表示されているパネルの [設定の変更はここをクリックします] をクリックします。
  3. [Kerberos 配布センター を使用した Kerberos 認証と基本認証] を選択して、[保存] をクリックします。
  4. [基本領域 ID] パネルの [設定の変更はここをクリックします] をクリックします。

  5. 使用する基本領域 ID の名前を入力して、[保存] をクリックします。

    この領域は、クライアントのブラウザの認証ダイアログに表示されます。これにより、ユーザーは認証が必要な理由を把握することができます。この領域は、セッションの間、ユーザー名とパスワードとともにブラウザによってキャッシュされます。デフォルトの基本領域 ID は、「Clearswift Secure Web Gateway」です。

  6. [Kerberos キー配布センター (KDC)] パネルの [設定の変更はここをクリックします] をクリックします。
  7. [新規] をクリックして、KDC を追加します。[新しい KDC の追加] ダイアログが表示されます。

  8. ユーザーの認証情報の検証に用いる KDC の、完全修飾ドメイン名 (FQDN) を入力します。この KDC に関する [注記] を記入することもできます。[追加] をクリックします。

    新しい KDC が、リストに追加されます。

    リストに表示されている KDC はいつでも編集することができます。詳細については、このトピックの 認証の編集 セクションを参照してください。

  Kerberos 認証を使用するには、ネットワーク タイム プロトコル (Network Time Protocol - NTP) を有効にしておかなければなりません。Server Console の [System Time Settings] (システム時刻の設定) ページから設定することができます。

構成を適用した後、ユーザーの認証が正しく行われているかどうかを検証することができます。

認証の編集

  1. [Kerberos キー配布センター (KDC)] パネルのリストから編集する KDC を選択して、[編集] をクリックします。一度に編集できる KDC は 1 つだけです。

    [KDC の編集] ダイアログが表示されます。

  2. KDC の [ホスト] や [注記] を変更して、[更新] をクリックします。
  3. を使用して、KDC を上、または、下に移動します。リスト内の KDC の順序が認証に用いられる KDC の順序になるように、リスト内での配置を調整します。リストの最上位の KDC が使えない場合はリストの 2 番目の KDC、その KDC が使えない場合はリストの 3 番目の KDC を使用... という具合になります。

Kerberos キー タブ ファイルの追加

  1. [Kerberos キー タブ ファイル] セクションの [設定の変更はここをクリックします] をクリックします。
  2. Web Gateway にインポートする Kerberos キー タブ ファイルを選択して、[保存] をクリックします。
  使用しているバージョンによって、キー タブ ファイルは異なります。キー タブ ファイルの詳細については、使用している Windows の KDC ドキュメントを参照してください。

認証の削除

  1. [Kerberos キー配布センター (KDC)] パネルのリストから削除する KDC を選択して、[削除] をクリックします。

    [削除の確認] ダイアログが表示されます。

  2. [はい] をクリックして、KDC を削除します。選択した KDC が、リストから削除されます。

認証のテスト

  1. [認証設定] ページのタスク パネルの [認証のテスト] をクリックします。[認証のテスト] ダイアログが表示されます。
  2. 有効なユーザー名とパスワードを入力して、[テストの実行] をクリックします。

リストに表示されている KDC の順序に基づいて、テストが実行されます。リストの最上位の KDC が使えない場合はリストの 2 番目の KDC、その KDC が使えない場合はリストの 3 番目の KDC を使用... という具合になります。

 

 Kerberos 認証は ASCII 以外の文字が含まれたユーザー名やパスワードをサポートしていますが、認証のテストでこれらの文字はサポートされていません。そのため、拡張文字の含まれているユーザー名とパスワードの認証テストを行うことはできません。

Apache Access Log を有効に設定

KDC の診断を実行する場合、Apache Access Log を有効にしてさらに情報が記録されるようにします。次のように設定します。

  1. [Apache Access Log が有効です / 無効です] と表示されているパネルの [設定の変更はここをクリックします] をクリックします。
  2. [Apache access logging を有効にする] チェック ボックスを選択、または、選択解除して、ログの有効と無効を設定します。