キータブは、Kerberos プリンシパルと暗号化キーのペアを含むファイルです。シングル サインオンが必要なアプリケーションのためにキータブ ファイルが作成されます。Unified Access Gateway ID ブリッジはキータブ ファイルを使用し、パスワードを入力せずに Kerberos を使用してリモート システムに対する認証を行います。

ユーザーが ID プロバイダから Unified Access Gateway に対して認証されると、Unified Access Gateway は Kerberos ドメイン コントローラから Kerberos チケットを要求してユーザーを認証します。

Unified Access Gateway はキータブ ファイルを使用してユーザーになりすまし、内部の Active Directory ドメインに対して認証します。Unified Access Gateway は、Active Directory ドメイン上にドメイン ユーザー サービス アカウントを持っている必要があります。Unified Access Gateway はドメインに直接参加しません。

注: : 管理者がサービス アカウントのキータブ ファイルを再生成する場合は、キータブ ファイルを Unified Access Gateway に再度アップロードする必要があります。

コマンドラインを使用してキータブ ファイルを生成することもできます。例:

ktpass /princ HOST/uagkerberos@KKI.ORG /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

ktpass コマンドの詳細については、「Microsoft documentation」を参照してください。

前提条件

Unified Access Gateway にアップロードするには、Kerberos キータブ ファイルにアクセスできる必要があります。キータブ ファイルはバイナリ ファイルです。可能であれば、SCP によるファイル転送または別の安全な方法を使用してコンピュータ間でキータブを転送します。

手順

  1. 管理ユーザー インターフェイスの [手動設定] セクションで、[選択] をクリックします。
  2. [詳細設定] > [ID ブリッジの設定] セクションで、[キータブ設定のアップロード] ギア アイコンをクリックします。
  3. (オプション)[プリンシパル名] テキスト ボックスに Kerberos プリンシパル名を入力します。

    各プリンシパルは常にレルム名で完全修飾されます。レルム名は大文字にする必要があります。

    ここで入力するプリンシパル名がキータブ ファイルにある最初のプリンシパルであることを確認してください。同じプリンシパル名がアップロードされたキータブ ファイルにない場合、キータブのアップロードは失敗します。

  4. [キータブ ファイルを選択] テキスト ボックスで [選択] をクリックし、保存したキータブ ファイルを参照します。[開く] をクリックします。
    プリンシパル名を入力しなかった場合、キータブで見つかった最初のプリンシパルが使用されます。複数のキータブを 1 つのファイルにマージすることができます。
  5. [保存] をクリックします。

次のタスク

Unified Access Gateway ID ブリッジのための Web リバース プロキシの設定。