汎 OS で Kerberos 認証を構成する方法

詳細

Kerberos サーバーを構成すると、ユーザーはドメインコントローラに対してネイティブに認証を行うことができます。kerberos 設定を構成すると、認証プロファイルを定義するときに kerberos がオプションとして使用できるようになります。Kerberos を構成するための推奨事項を以下に示します。

DNS エントリ

Active Directory を使用している場合は、AD dns サーバーをパンファイアウォール dns サーバーとして使用するのが最も簡単です。このサーバーには、Kerberos 認証に必要な DNS エントリが既に存在します。このオプションを使用できない場合は、パンが使っている dns サーバーが、_kerberos および _kerberos _udp のサービスロケーション (SRV) dns エントリを持っていることを確認してください。_tcp

例として、w2k3.pantac2.org という名前の Active Directory サーバーがある場合は、_kerberos および _kerberos の _tcp のサービスロケーション (SRV) エントリも必要になります。_udp. pantac2.

以下は、Bind9 DNS サーバを実行している linux サーバの例です。

srvce.prot.name ttl クラス rr pri ウェイトポートターゲット

     10.30.14.132 の w2k3

_kerberos _tcp の SRV 0 100 88 w2k3

_kerberos _udp の SRV 0 100 88 w2k3

NTP サーバー

パロアルトネットワークデバイスと Kerberos サーバーの両方の時間は、互いに5分以内に同期する必要があります。これは、Kerberos に組み込まれたセキュリティ機能です。NTP サーバーを使用するように、デバイスと AD サーバーの両方を構成する必要があります。

デバイス環境設定

Kerberos サーバープロファイルを作成します。> デバイスタブ > サーバプロファイル > Kerberos:

プロファイルの名前を入力します。ユーザーアカウント名 user@pantac2.org の場合、レルム (最大127文字) は FQDN、"pantac2.org" です。ユーザーアカウントのドメインを入力します (最大63文字)。私たちの例では、"pantac2" です。サーバーごとに [追加] をクリックし、サーバー名を入力します。[ホスト] の下にサーバーの FQDN を入力し、サーバーと通信するためのオプションのポート番号を入力します。

Auth プロファイル > デバイスタブ > 認証プロファイル > 新規を作成します。 認証 "kerberos" を選択し、構成されている kerberos サーバーを選択してください。次に例を示します。

この認証プロファイルは、SSL VPN、キャプティブポータル、または管理者ログインに使用できます。上記の Auth プロファイルは、すべての認証要求が広告サーバーに届くように構成されていました。ad グループを使用して、認証要求を ad サーバーに送信できるユーザーを決定することにより、認証プロファイルをカスタマイズできます。

所有者: rnitz