Web サーバー内の SPNEGO 認証の使用可能化

IIS 用に SPNEGO を使用可能にするには、「ディレクトリー・セキュリティー

(Directory Security)」 タブに設定されている Web サーバーのアクセス・ポリシーが

「匿名 (anonymous)」に設定されていることを確認します。 他の Web サーバーに

対しては、デフォルトの構成が許容されます。

Internet Explorer クライアント内で SPNEGO を使用可能にするには、次のようにし ます。

1. プラグインが UNIX にインストールされている場合、「イントラネット」ゾー ンを構成して UNIX サーバー名を含めるようにします。

a. 「ツール」→「インターネット オプション」を選択します。

b. 「セキュリティ」タブから「イントラネット」→「サイト」→「詳細設定」ま たは「信頼済みサイト」→「サイト」を選択します。

c. プラグインが実行されている UNIX サーバーを入力します。

2. 統合ログイン動作を構成します。

a. 「ツール」→「インターネット オプション」を選択します。

b. 「セキュリティ」タブから「レベルのカスタマイズ」を選択します。

c. 「セキュリティの設定」ダイアログにある「ログオン」セクションまでスク ロールダウンし、必要な機能に応じて「自動的にログオンする」または「ユ ーザー名とパスワードを入力してログオンする」を選択します。

注: 上記のステップ 1 で「信頼済みサイト」オプションを選択した場合、ユ ーザーはユーザー名やパスワード情報を要求されることはありません。

3. クライアントが Internet Explorer のバージョン 6 の場合、統合 Windows ログ インが必要です。これを行うには、以下のようにします。

a. 「ツール」→「インターネット オプション」を選択します。

b. 「詳細設定」タブで、「統合 Windows 認証を使用する」にチェックマークを 付けます。

c. 変更を有効にするには、ブラウザーを再始動します。

トラブルシューティングのヒント

Kerberos 構成

v 問題: kinit を使用して UNIX サーバー用に作成された keytab をテストする際 に、エラー「初期信任状を取得中のクロック・スキューが大きすぎます。( Clock skew too great while getting initial credentials.)」というメッセージを受信する。

解決方法: Kerberos を使用する際にクロックの同期を保持する必要があります。

永久的な解決のためには、ご使用のマシンに何らかの時間同期サービスを配備し ます。 一時的な解決方法としては、互いの誤差が 1 分以内になるようにマシン のクロックを調整します。

v 問題: kinit を使用して UNIX 用に作成された keytab をテストする際に、エラー

「初期信任状の取得中に事前認証に失敗しました。(Preauthentication failed while getting initial credentials)」または「初期信任状の取得中のパスワードが正しくあ りません。(Password incorrect while getting initial credentials)」を受信する。

解決方法: keytab ファイル内の鍵が正しくありません。正しいプリンシパル名、

Active Directory ユーザー名、およびパスを使用して、keytab ファイルを正しく生 成したかを確認します。

v 問題 kinit -k -t を実行する際に kinit が破損する。

解決方法: kinit のバージョンによっては、keytab ファイルでエントリーが見つか らない場合に、問題を適切に処理できないものがあります。kinit に渡した エン トリーと完全に一致する エントリーが keytab ファイルにもあることを二重にチ ェックしてください。

Tivoli Access Manager Plug-in for Web Servers の構成

v 問題が発生した場合、SPNEGO のトレースを使用可能にすることを考慮してくだ さい。ルーティング・ファイルにエントリーを追加してください。ルーティン グ・ファイルはインストール・ディレクトリーの etc/routing にあります。エン トリーの例は、以下のとおりです。

bst:*.9:TEXTFILE:install_path/log/spnegotrace.log

UNIX の場合、デフォルトのプラグイン・インストール・ディレクトリーは

/opt/pdwebpi です。実際のインストール・ディレクトリーのパスに置き換えてく

ださい。プラグインを停止し、再始動します。トレース・ファイル内のエラー・

メッセージを調べてください。

v 問題: プラグイン・サーバーが始動しない。 ログ・ファイルに「認証方式

(kerberosv5) は構成されていません。」というメッセージが入っています。

解決方法: プラグイン構成ファイル内の [authentication-mechanisms] スタンザ

にある kerberosv5 認証方式を使用可能にします。

v 問題: プラグインが始動しない。エラー・メッセージは「セキュリティー・サー ビス機能 gss_import_name が、メジャー・エラー・コード 131072 とマイナー・

エラー・コード -1765328168 を戻しました。」になっています。

解決方法: 構成ファイルに指定されたプリンシパル名が無効です。プリンシパル 名は「HTTP@host_name」という形式でなければなりません。ここで host_name は、Kerberos レルムに構成されたコンピューターの完全修飾 DNS 名 です。

v 問題: プラグイン・サーバーが始動しない。エラー・メッセージは「セキュリテ ィー・サービス機能 gss_acquire_cred が、メジャー・エラー・コード 851968 と マイナー・エラー・コード 39756033 を戻しました。」になっています。

解決方法: 構成ファイル内のプリンシパル名が指定した keytab ファイル内のどの 鍵とも一致しません。keytab ファイル内の鍵は HTTP/host_name@REALM のよう な名前です。プリンシパル名は HTTP@host_name という形式でなければなりま せん。

v 問題: プラグインにアクセスしようとした場合に「HPDIA0100E 内部エラーが発 生しました。」というメッセージを受信する。プラグイン・トレース・ログ・フ ァイルには、「セキュリティー・サービス機能 gss_accept_sec_context が、メジャ ー・エラー・コード 851968 とマイナー・エラー・コード -1765328347 を戻しま した。」が入っています。

解決方法: クライアント・マシンのシステム・クロックがプラグイン・サーバー 内のシステム・クロックと同期が取れていません。Kerberos を使用するときに は、クロックの同期を保持しなければなりません。永久的な解決のためには、ご 使用のマシンに時間同期サービスを配備します。 一時的な解決方法としては、互 いの誤差が 1 分以内になるようにマシンのクロックを調整します。

問題が発生した場合にチェックする他の構成項目

v 78ページの『ステップ 2: Kerberos プリンシパルの Active Directory ユーザーへ のマップ』で説明しているように、ファイル・アクセス許可および keytab ファイ ルの所有権が、プラグイン許可サーバーによるアクセスを許可しているかをチェ ックします。

v keytab ファイルに含まれる情報を表示するために、ktutil ユーティリティーを使

用して、正しいプリンシパル名の有効なデータと鍵が keytab ファイルに含まれて いるかをチェックします。

v ドメイン全体 (ドメイン・コントローラーおよびクライアント) の DNS 構成が正 しく、さまざまなロケーション (keytab ファイル、プラグイン構成ファイルなど) で名前が正しく解釈されていて、サービス・プリンシパル名構成項目の値と一致 していることをチェックします。

v システム・クロックが同期していて、Distributed Time Service がドメインのすべ てのシステムでクロック同期を維持しているかをチェックします。

v ネットワーク構成が正しくて、輻輳 (ふくそう)、ルーティングの誤り、名前衝突 などの問題がないかをチェックします。待ち時間が許容範囲内であることを確認 します。 ファイアウォール、NAT、および他のネットワーク・セキュリティー・

サービスがドメインの操作に干渉しないことを確認します。

NTLM 認証の構成 (IIS プラットフォームのみ)

Windows プラットフォームの旧バージョンでは、NT LAN Manager (NTLM) 認証と 呼ばれる基本的なシングル・サインオン (SSO) メカニズムを提供していました。こ の認証方式は、ハッシュ・アルゴリズムをベースにして、基本認証と同レベルのセ キュリティーと操作を提供します。プラグインでは、現在の Windows プラットフ

ォーム (XP、2000) と Windows NT などの古いシステムとの間で後方互換性を維持

するのに便利な NTLM 認証をサポートします。プラグインは、Windows IIS プラ ットフォームでのみ NTLM をサポートし、UNIX プラットフォームではサポート されません。

NTLM 認証を使用可能にするには、値 ntlm を、プラグイン構成ファイル

pdwebpi.conf の [common-modules] スタンザ内にある authentication パラメー ターに割り当てます。

[common-modules]

authentication = ntlm

NTLM 認証を使用可能にするには、IIS Web サーバーのアクセス・ポリシーが匿名 に設定されているかを確認します。

NTLM (および SPNEGO) 交換に Internet Explorer が加わるように構成するには、

次のようにします。

1. 統合ログイン動作を構成します。

a. 「ツール」→「インターネット オプション」を選択します。

b. 「セキュリティ」タブから「レベルの カスタマイズ」を選択します。

c. 「セキュリティの設定」ダイアログにある「ログオン」セクションまでスク ロールダウンし、必要な機能に応じて「自動的にログオンする」または「ユ ーザー名とパスワードを入力してログオンする」を選択します。

注: 上記のステップ 1 で「信頼済みサイト」オプションを選択した場合、ユ ーザーはユーザー名やパスワード情報を要求されることはありません。

2. クライアントが Internet Explorer のバージョン 6 の場合、統合 Windows ログ インが必要です。これを行うには、以下のようにします。

a. 「ツール」→「インターネット オプション」を選択します。

b. 「詳細設定」タブで、「統合 Windows 認証を使用する」にチェックマークを 付けます。

c. 変更を有効にするには、ブラウザーを再始動します。

プラグイン構成ファイルの [ntlm] スタンザ内にある

use-pre-windows-2000-logon-name パラメーターは、Windows 2000 または

Windows 2000 以前のユーザー名フォーマットのいずれかを構成するのに使用でき

ます。デフォルトで、ntlm モジュールは Windows 2000 ログオン名を使用して Tivoli Access Manager 内の認証済みユーザーを表します。これは、

[email protected] ログオン名の username の部分です。 

use-pre-windows-2000-logon-name パラメーターにより、Windows 2000 以前の ログオン名で Tivoli Access Manager 内の認証済みユーザーを表すことができま す。これは、DOMAIN¥USERNAME ログオン名の username の部分です。このパラ