音声とユニファイド コミュニケーション : Cisco Jabber for Windows

Kerberos認証 設定例と設定される SAML SSO

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Microsoft Windows ログオンのログインにユーザをおよび資格情報のためにプロンプト表示されないために可能にする Jabber クライアント(Microsoft Windows だけ)によって Kerberos認証を使用することをそれが可能にするためにアクティブ ディレクトリおよびアクティブ ディレクトリ連合サービス(AD FS)バージョン 2.0 を設定する方法を記述されています。

注意: この資料はラボ 環境に基づき、行なう変更の影響に気づいていると仮定します。 行なう変更の影響を理解するために関連した製品マニュアルを参照して下さい。

A.M.Mahesh Babu によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco では次の前提を満たす推奨しています。

  • 依存当事者信頼で Cisco コラボレーション 製品でインストールされ、設定される AD FS バージョン 2.0
  • Cisco Unified Communications Manager (CUCM)のようなコラボレーション 製品 IM および存在、セキュリティ アサーション マークアップ言語(SAML)単一 サインオン(SSO)を使用するために有効に なる Cisco Unity Connection (UCXN)、および CUCM

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • アクティブ ディレクトリ 2008 年(ホスト名: ADFS1.ciscolive.com)
  • AD FS バージョン 2.0 (ホスト名: ADFS1.ciscolive.com)
  • CUCM (ホスト名: CUCM1.ciscolive.com)
  • Microsoft Internet Explorer バージョン 10
  • Mozilla Firefox バージョン 34
  • Telerik バイオリン弾きバージョン 4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

AD FS を設定して下さい

  1. チケットを要求するために Jabber がインストールされているクライアント コンピュータを有効に するためにサービス プリンシパル名(SPN)で AD FS バージョン 2.0 を設定して下さい AD FS サービスと通信することをそれからクライアント コンピュータが可能にする。



    AD FS 2.0 を参照して下さい: 詳細についてはサービス アカウントのための SPN (servicePrincipalName)の設定方法

  2. AD FS サービスのためのデフォルトの認証 設定が(C:\inetpub\adfs\ls\web.config で)統合された Windows 認証であることを確認して下さい。 形式ベースの認証に変更されなかったことを確認して下さい。



  3. 右のペインの下で設定を『Windows Authentication』 を選択 し、『Advanced』 をクリック して下さい。 詳細設定では、拡張保護が消えている、『OK』 をクリック するチェックを外して下さいことをイネーブル カーネルモード認証の、確かめ。



  4. すべての非 Windows クライアントが Kerberos を使用し、NTLM に頼ることができないので AD FS バージョン 2.0 が Kerberos プロトコルおよび NT LAN Manager (NTLM) プロトコルを両方サポートするようにして下さい。

    右のペインで、プロバイダを選択し、および NTLM がイネーブルになったプロバイダの下であることをネゴシエートするためにことを確かめて下さい:



    : Client 要求を認証するために統合された Windows 認証が使用されるとき AD FS はネゴシエート セキュリティ ヘッダを渡します。 ネゴシエート セキュリティ ヘッダーは Kerberos認証と NTLM 認証間で選り抜きクライアントを可能にします。 ネゴシエート プロセスはこれらの条件の 1 つが本当でなければ Kerberos認証を選択します:    

    -認証に関連するシステムの 1 つは Kerberos認証を使用できません。  

    -呼び出し元のアプリケーションは Kerberos認証を使用するために十分な情報を提供しません。   

    -ネットワーク認証に Kerberos プロトコルを選択することをネゴシエート プロセスが可能にするためにターゲット名としてクライアントアプリケーションが SPN、ユーザー プリンシパル名(UPN)、Network Basic Input/Output System (NetBIOS)アカウント名をつける。 さもなければ、ネゴシエート プロセスは優先 する 認証方式として NTLM プロトコルを常に選択します。

ブラウザを設定して下さい

Microsoft Internet Explorer

  1. Internet Explorer が > > 認証がチェックされるイネーブル統合 Windows 進んだことを確認して下さい。



  2. セキュリティ >Intranet ゾーン > サイトの下で AD FS URL を追加して下さい。



  3. セキュリティ >Trusted サイトに Unity CUCM、IMP およびホスト名を追加して下さい。



  4. ようにインターネット Exporer > Security > ローカル イントラネット > Security 設定 > ユーザ認証して下さいイントラネット サイトのためにログイン した 資格情報を使用するために-ログオンは設定されます。

Mozilla FireFox

  1. Firefox を開き、入力して下さい: アドレスバーの構成



  2. click I 注意しますと、約束します!



  3. 修正するために本当および network.negotiate-auth.trusted-uris に順序で ciscolive.com,adfs1.ciscolive.com にプリファレンス名前 network.negotiate auth.allow 非 fqdn をダブルクリックして下さい。



  4. Firefox を閉じ、再開して下さい。

確認

AD FS サーバのための SPNs がきちんと作成されることを確認するために、setspn コマンドを入力し、出力を表示して下さい。

クライアントマシンが Kerberosチケットを備えているかどうか確認して下さい:

どの認証(Kerberos か NTLM 認証)使用中であるか確認するためにこれらのステップを完了して下さい。

  1. バイオリン弾きツールをクライアントマシンにダウンロードし、それをインストールして下さい。

  2. すべての Microsoft Internet Explorer ウィンドウを閉じて下さい。

  3. バイオリン弾きツールを実行し、キャプチャ トラフィック オプションが File メニューの下で有効に なることを確認して下さい。 バイオリン弾きはクライアントマシンとサーバ間のパススルー プロキシとしてはたらき、すべてのトラフィックを受信します。

  4. Microsoftインターネットエクスプローラを開き、CUCM に参照し、トラフィックを生成するためにいくつかのリンクをクリックして下さい。

  5. バイオリン弾きメイン ウィンドウに戻って参照し、帯の 1 つを結果である 200 選択しなさい(成功)および認証機構として Kerberos を表示できます



  6. 認証種別が NTLM である場合、ここに示されているようにフレームの始めに- NTLMSSP をネゴシエートするために見ます。

トラブルシューティング

設定すべておよび検証手順がこの資料に記述されているように完了し、それでもログイン問題があれば、Microsoft Windows アクティブ ディレクトリ/AD FS 管理者に相談して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118773