Kerberos の設定

Similar documents
管理者のユーザ名とパスワードの設定

管理者のユーザ名とパスワードの設定

FQDN を使用した ACL の設定

CLI Python モジュール

パスワードおよび権限レベルによるスイッチ アクセスの制御

パスワードおよび権限レベルによるスイッチ アクセスの制御

MIB サポートの設定

パスワード暗号化の設定

ミーティングへの参加

ログインおよび設定

VPN 接続の設定

シスコ脆弱性データベース(VDB)アップデート 307 のリリース ノート

8021.X 認証を使用した Web リダイレクトの設定

RADIUS NAS-IP-Address アトリビュート 設定可能性

ESET Smart Security 7 リリースノート

索引

音声認識サーバのインストールと設定

ライセンス管理

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

適応型セキュリティ アプライ アンスの設定

シスコ以外の SIP 電話機の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

パスワード暗号化の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

ファイル メニューのコマンド

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

このマニュアルについて

WeChat 認証ベースのインターネット アクセス

Cisco Unity と Unity Connection Server の設定

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

使用する前に

シナリオ:サイトツーサイト VPN の設定

はじめる前に

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

適応型セキュリティ アプライ アンスの設定

Microsoft Word - XOOPS インストールマニュアルv12.doc

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

X.25 PVC 設定

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Untitled

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

Mobile Access簡易設定ガイド

MC3000一般ユーザ利用手順書

SMTP ルーティングの設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

連絡先

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

Microsoft Word JA_revH.doc

クライアント証明書導入マニュアル

Windows GPO のスクリプトと Cisco NAC 相互運用性

Troubleshooting SSH connections with Reflection X

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

付録

Cisco Hyperlocation

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

Microsoft PowerPoint - mwpro2_faq_ ppt

intra-mart Accel Platform

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

呼び出し音の設定

構成管理

QualysGuard(R) Release Notes

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

Symantec AntiVirus の設定

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

WL-RA1Xユーザーズマニュアル

使用する前に

Cisco ViewMail for Microsoft Outlook クイックスタートガイド (リリース 8.5 以降)

ESET NOD32 アンチウイルス 6 リリースノート

PowerPoint Presentation

ESET NOD32 アンチウイルス 8 リリースノート

ライセンス運用マニュアル ムラタソフトウェア株式会社 All Rights Reserved, Copyright c Murata Software Co., Ltd. 2019/2/14 1

改訂日 : 2009 年 3 月 OL Cisco Phone Control and Presence プラグインのインストール プラグインが自動的にインストールされない場合は ここに示すでプラグインを直接インストールします Cisco Phone Control and P

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

HULFT-WebConnectサービス仕様書

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

BACREX-R クライアント利用者用ドキュメント

2. FileZilla のインストール 2.1. ダウンロード 次の URL に接続し 最新版の FileZilla をダウンロードします URL: なお バージョンが異なるとファイル名が

概要

サイボウズ リモートサービス ユーザーマニュアル

Net'Attest EPS設定例

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

QualitySoft SecureStorage クイックスタートガイド

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

ミーティング記録の管理

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

3 メニュー選択後 Web ブラウザ画面にセキュリティ証明の証明書エラー画面が表示された場合は このサイトの閲覧を続行する ( 推奨されません ) をクリックします このサイトの閲覧を続行する ( 推奨されません ) をクリック セキュリティ証明の証明書エラー画面 4 Web ブラウザ画面に URL

証明書インポート用Webページ

VPN の IP アドレス

シナリオ:DMZ の設定

TeamViewer 9マニュアル – Wake-on-LAN

Transcription:

機能情報の確認 1 ページ Kerberos によるスイッチ アクセスの制御の前提条件 1 ページ Kerberos に関する情報 2 ページ Kerberos を設定する方法 6 ページ Kerberos 設定の監視 6 ページ その他の参考資料 6 ページ 機能情報の確認 ご使用のソフトウェア リリースでは このモジュールで説明されるすべての機能がサポートさ れているとは限りません 最新の機能情報および警告については 使用するプラットフォーム およびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください このモジュールに記載されている機能の詳細を検索し 各機能がサポートされているリリース のリストを確認する場合は このモジュールの最後にある機能情報の表を参照してください プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を 検索するには Cisco Feature Navigator を使用します Cisco Feature Navigator には http://www.cisco.com/go/cfn からアクセスします Cisco.com のアカウントは必要ありません Kerberos によるスイッチ アクセスの制御の前提条件 Kerberos によるスイッチ アクセスの制御の前提条件は 次のとおりです リモート ユーザがネットワーク サービスに対して認証を得るには Kerberos レルム内の ホストと KDC を設定し ユーザとネットワーク サービスの両方に通信を行い 相互に認 証させる必要があります これを実現するには 互いの識別が必要です KDC上のKerberos データベースにホストのエントリを追加し Kerberos レルム内のすべてのホストに KDC が生成した KEYTAB ファイルを追加します また KDC データベースにユーザ用のエン トリも作成します Kerberos サーバには ネットワーク セキュリティ サーバとして設定されていて Kerberos プロトコルを用いてユーザを認証できるスイッチを使用できます 1

Kerberos に関する情報 ホストおよびユーザのエントリを追加または作成する場合の注意事項は次のとおりです Kerberos プリンシパル名はすべて小文字でなければなりません Kerberos インスタンス名はすべて小文字でなければなりません Kerberos レルム名はすべて大文字でなければなりません Kerberos に関する情報 ここでは Kerberos の情報を提供します Kerberos とスイッチアクセス ここでは Kerberos セキュリティシステムをイネーブルにして設定する方法について説明します Kerberos セキュリティシステムは 信頼できるサードパーティを使用してネットワークリソースに対する要求を認証します 例では 信頼できるサードパーティを Kerberos をサポートし ネットワークセキュリティサーバとして設定され Kerberos プロトコルを使用してユーザを認証するスイッチとすることができます Kerberos の概要 Kerberos はマサチューセッツ工科大学 (MIT) が開発した秘密キーによるネットワーク認証プロトコルです データ暗号規格 (DES) という暗号化アルゴリズムを暗号化と認証に使用し ネットワークリソースに対する要求を認証します Kerberos は 信頼できるサードパーティという概念を使ってユーザとサービスに対してセキュリティの検証を実行します この信頼できるサードパーティをキー発行局 (KDC) と呼びます Kerberos は ユーザが誰であるか そのユーザが使用しているネットワークサービスは何であるかを検証します これを実行するために KDC( つまり信頼できる Kerberos サーバ ) がユーザにチケットを発行します これらのチケットには有効期限があり ユーザクレデンシャルのキャッシュに保存されます Kerberos サーバは ユーザ名やパスワードの代わりにチケットを使ってユーザとネットワークサービスを認証します Kerberos サーバには ネットワークセキュリティサーバとして設定されていて Kerberos プロトコルを用いてユーザを認証できるのであれば どのスイッチも使用できます 2

Kerberos の概要 Kerberos のクレデンシャル発行スキームでは single logon という手順を使用します この手順では ユーザを 1 回認証すると ユーザクレデンシャルが有効な間は ( 他のパスワードの暗号化を行わずに ) セキュア認証が可能になります このソフトウェアリリースは Kerberos 5 に対応しています Kerberos 5 では すでに Kerberos 5 を使用している組織が (UNIX サーバや PC などの ) 他のネットワークホストが使用している KDC 上の Kerberos 認証データベースを使用できます Kerberos は次のネットワークサービスをサポートしています Telnet rlogin rsh 次の表に 一般的な Kerberos 関連用語とその定義を示します 表 1 : Kerberos の用語 用語認証許可クレデンシャルインスタンス 定義 ユーザやサービスが他のサービスに対して自分自身の身元を証明する手順 たとえば クライアントはスイッチに対して認証を得て スイッチは他のスイッチに対して認証を得ます ユーザがネットワークやスイッチにおいてどのような権限を有しており またどのような動作を実行できるかを スイッチが識別する手段 認証チケット (TSG 1 サービスクレデンシャルなど ) を表す総称 Kerberos クレデンシャルで ユーザまたはサービスの ID を検証します ネットワークサービスがチケットを発行した Kerberos サーバを信頼することにした場合 ユーザ名やパスワードを再入力する代わりにこれを使用できます 証明書の有効期限は 8 時間がデフォルトの設定です Kerberos プリンシパルの承認レベルラベル ほとんどの Kerberos プリンシパルは user@realm という形式です ( たとえば smith@example.com) Kerberos インスタンスのある Kerberos プリンシパルは user/instance@realm という形式です ( たとえば smith/admin@example.com) Kerberos インスタンスは 認証が成功した場合のユーザの承認レベルを指定するために使用できます 各ネットワークサービスのサーバは Kerberos インスタンスの許可マッピングを適用し実行できますが 必須ではありません Kerberos プリンシパル名およびインスタンス名はすべて小文字でなければなりません Kerberos レルム名はすべて大文字でなければなりません 3

Kerberos の概要 用語 KDC 2 Kerberos 対応 Kerberos レルム 定義 ネットワークホストで稼働する Kerberos サーバおよびデータベースプログラムで構成されるキー発行局 Kerberos クレデンシャルのインフラストラクチャをサポートするために変更されたアプリケーションやサービスのことを指す用語 Kerberos サーバに登録されたユーザ ホスト およびネットワークサービスで構成されるドメイン Kerberos サーバを信頼して ユーザまたはネットワークサービスに対する別のユーザまたはネットワークサービスの ID を検証します Kerberos レルム名はすべて大文字でなければなりません Kerberos サーバ KEYTAB 3 プリンシパル ネットワークホストで稼働しているデーモン ユーザおよびネットワークサービスはそれぞれ Kerberos サーバに ID を登録します ネットワークサービスは Kerberos サーバにクエリーを送信して 他のネットワークサービスの認証を得ます ネットワークサービスが KDC と共有するパスワード Kerberos 5 以降のバージョンでは ネットワークサービスは KEYTAB を使って暗号化されたサービスクレデンシャルを暗号解除して認証します Kerberos 5 よりも前のバージョンでは KEYTAB は SRVTAB 4 と呼ばれます Kerberos ID とも呼ばれ Kerberos サーバに基づき ユーザが誰であるか サービスが何であるかを表します Kerberos プリンシパル名はすべて小文字でなければなりません サービスクレデンシャル SRVTAB TGT ネットワークサービスのクレデンシャル KDC からクレデンシャルが発行されると ネットワークサービスと KDC が共有するパスワードで暗号化されます ユーザ TGT ともパスワードを共有します ネットワークサービスが KDC と共有するパスワード SRVTAB は Kerberos 5 以降のバージョンでは KEYTAB と呼ばれています 身分証明書のことで KDC が認証済みユーザに発行するクレデンシャル TGT を受け取ったユーザは KDC が示した Kerberos レルム内のネットワークサービスに対して認証を得ることができます 1 チケット認可チケット 2 キー発行局 3 キーテーブル 4 サーバテーブル 4

Kerberos の動作 Kerberos の動作 境界スイッチに対する認証の取得 Kerberos サーバには ネットワークセキュリティサーバとして設定されていて Kerberos プロトコルを用いてリモートユーザを認証できるデバイスを使用できます Kerberos をカスタマイズする方法はいくつかありますが ネットワークサービスにアクセスしようとするリモートユーザは 3 つのセキュリティレイヤを通過しないとネットワークサービスにアクセスできません リモートユーザがデバイスを Kerberos サーバとして使用してネットワークサービスで認証されるには 次の手順を実行する必要があります ここでは リモートユーザが通過しなければならない最初のセキュリティレイヤについて説明します ユーザは まず境界スイッチに対して認証を得なければなりません リモートユーザが境界スイッチに対して認証を得る場合 次のプロセスが発生します 1. ユーザが境界スイッチに対して Kerberos 未対応の Telnet 接続を開始します 2. ユーザ名とパスワードの入力を求めるプロンプトをスイッチが表示します 3. スイッチが このユーザの TGT を KDC に要求します 4. KDC がユーザ ID を含む暗号化された TGT をスイッチに送信します 5. スイッチは ユーザが入力したパスワードを使って TGT の暗号解除を試行します 暗号解除に成功した場合は ユーザはスイッチに対して認証を得ます 暗号解除に成功しない場合は ユーザ名とパスワードを再入力 (Caps Lock または Num Lock のオン / オフに注意 ) するか 別のユーザ名とパスワードを入力してステップ 2 の手順を繰り返します KDC からの TGT の取得 Kerberos 未対応の Telnet セッションを開始し 境界スイッチの認証を得ているリモートユーザはファイアウォールの内側にいますが ネットワークサービスにアクセスするには KDC から直接認証を得る必要があります ユーザが KDC から認証を得なければならないのは KDC が発行する TGT はスイッチに保存されており ユーザがこのスイッチにログオンしないかぎり 追加の認証に使用できないからです ここでは リモートユーザが通過しなければならない 2 番めのセキュリティレイヤについて説明します ユーザは ネットワークサービスにアクセスするために このレイヤで KDC の認証を得て KDC から TGT を取得しなければなりません KDC に対して認証を得る方法については Cisco IOS Security Configuration Guide, Release 12.4 の Security Server Protocols の章にある Obtaining a TGT from a KDC を参照してください 5

ネットワークサービスに対する認証の取得 ネットワークサービスに対する認証の取得 ここでは リモートユーザが通過しなければならない 3 番めのセキュリティレイヤについて説明します TGT を取得したユーザは このレイヤで Kerberos レルム内のネットワークサービスに対して認証を得なければなりません ネットワークサービスに対して認証を得る方法については Cisco IOS Security Configuration Guide, Release 12.4 の Security Server Protocols の章の Authenticating to Network Services を参照してください Kerberos を設定する方法 Kerberos 認証済みサーバ / クライアントシステムを設定する手順は 次のとおりです Kerberos コマンドを使用して KDC を設定します Kerberos プロトコルを使用するようにスイッチを設定します Kerberos 設定の監視 Kerberos 設定を表示するには 次のコマンドを使用します show running-config showkerberoscreds: 現在のユーザの認定証キャッシュに含まれる認定証を一覧表示します clearkerberoscreds: 転送済みの認定証を含め 現在のユーザの認定証キャッシュに含まれるすべての認定証を破棄します その他の参考資料 関連資料 関連項目 Kerberos コマンド マニュアルタイトル Cisco IOS Security Command Reference 6

その他の参考資料 エラーメッセージデコーダ 説明 このリリースのシステムエラーメッセージを調査し解決するために エラーメッセージデコーダツールを使用します リンク https://www.cisco.com/cgi-bin/support/errordecoder/index.cgi MIB MIB MIB のリンク 本リリースでサポートするすべての MIB 選択したプラットフォーム Cisco IOS リリース およびフィーチャセットに関する MIB を探してダウンロードするには 次の URL にある Cisco MIB Locator を使用します http://www.cisco.com/go/mibs シスコのテクニカルサポート 説明 シスコのサポート Web サイトでは シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように マニュアルやツールをはじめとする豊富なオンラインリソースを提供しています リンク http://www.cisco.com/support お使いの製品のセキュリティ情報や技術情報を入手するために Cisco Notification Service(Field Notice からアクセス ) Cisco Technical Services Newsletter Really Simple Syndication(RSS) フィードなどの各種サービスに加入できます シスコのサポート Web サイトのツールにアクセスする際は Cisco.com のユーザ ID およびパスワードが必要です 7

その他の参考資料 8

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック