セキュリティ コンフィギュレーション ガイド、Cisco IOS XE リリース 3E(Cisco WLC 5700 シリーズ)
Kerberos の設定
Kerberos の設定

Kerberos の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

Kerberos によるスイッチ アクセスの制御の前提条件

Kerberos によるスイッチ アクセスの制御の前提条件は、次のとおりです。

  • リモート ユーザがネットワーク サービスに対して認証を得るには、Kerberos レルム内のホストと KDC を設定し、ユーザとネットワーク サービスの両方に通信を行い、相互に認証させる必要があります。 これを実現するには、互いの識別が必要です。 KDC 上の Kerberos データベースにホストのエントリを追加し、Kerberos レルム内のすべてのホストに KDC が生成した KEYTAB ファイルを追加します。 また、KDC データベースにユーザ用のエントリも作成します。

  • Kerberos サーバには、ネットワーク セキュリティ サーバとして設定されていて、Kerberos プロトコルを用いてユーザを認証できるスイッチを使用できます。

ホストおよびユーザのエントリを追加または作成する場合の注意事項は次のとおりです。

  • Kerberos プリンシパル名はすべて小文字でなければなりません

  • Kerberos インスタンス名はすべて小文字でなければなりません

  • Kerberos レルム名はすべて大文字でなければなりません

Kerberos によるスイッチ アクセスの制御の制約事項

Kerberos によるスイッチ アクセスの制御の制約事項は、次のとおりです。

Kerberos に関する情報

ここでは、Kerberos の情報を提供します。

Kerberos とスイッチ アクセス

ここでは、Kerberos セキュリティ システムをイネーブルにして設定する方法について説明します。Kerberos セキュリティ システムは、信頼できるサードパーティを使用してネットワーク リソースに対する要求を認証します。

Kerberos の設定例については、『Cisco IOS Security Configuration Guide, Release 12.4』の「Security Server Protocols」の章にある「Kerberos Configuration Examples」を参照してください。

ここで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference, Release 12.4』の「Security Server Protocols」の章にある「Kerberos Commands」を参照してください。


(注)  


Kerberos の設定例および『Cisco IOS Security Command Reference, Release 12.4』では、スイッチは、信頼できるサード パーティにすることができ、これは Kerberos をサポートしていて、ネットワーク セキュリティ サーバとして設定され、Kerberos プロトコルを使用してユーザを認証することができます。


Kerberos の概要

Kerberos はマサチューセッツ工科大学(MIT)が開発した秘密キーによるネットワーク認証プロトコルです。 データ暗号規格(DES)という暗号化アルゴリズムを暗号化と認証に使用し、ネットワーク リソースに対する要求を認証します。 Kerberos は、信頼できるサードパーティという概念を使ってユーザとサービスに対してセキュリティの検証を実行します。 この信頼できるサードパーティをキー発行局(KDC)と呼びます。

Kerberos は、ユーザが誰であるか、そのユーザが使用しているネットワーク サービスは何であるかを検証します。 これを実行するために、KDC(つまり信頼できる Kerberos サーバ)がユーザにチケットを発行します。 これらのチケットには有効期限があり、ユーザ クレデンシャルのキャッシュに保存されます。 Kerberos サーバは、ユーザ名やパスワードの代わりにチケットを使ってユーザとネットワーク サービスを認証します。


(注)  


Kerberos サーバには、ネットワーク セキュリティ サーバとして設定され、Kerberos プロトコルを使用してユーザを認証できる スイッチを使用できます。


Kerberos のクレデンシャル発行スキームでは、single logon という手順を使用します。 この手順では、ユーザを 1 回認証すると、ユーザ クレデンシャルが有効な間は(他のパスワードの暗号化を行わずに)セキュア認証が可能になります。

このソフトウェア リリースは Kerberos 5 に対応しています。Kerberos 5 では、すでに Kerberos 5 を使用している組織が、(UNIX サーバや PC などの)他のネットワーク ホストが使用している KDC 上の Kerberos 認証データベースを使用できます。

このソフトウェア リリースでは、Kerberos は次のネットワーク サービスをサポートしています。

  • Telnet

  • rlogin

  • rsh

次の表に、一般的な Kerberos 関連用語とその定義を示します。

表 1 Kerberos の用語

用語

定義

認証

ユーザやサービスが他のサービスに対して自分自身の身元を証明する手順。 たとえば、クライアントはスイッチに対して認証を得て、スイッチは他のスイッチに対して認証を得ます。

許可

ユーザがネットワークやスイッチにおいてどのような権限を有しており、またどのような動作を実行できるかを、スイッチが識別する手段。

クレデンシャル

認証チケット(TGT など)を表す総称1 およびサービス クレデンシャル。 Kerberos クレデンシャルで、ユーザまたはサービスの ID を検証します。 ネットワーク サービスがチケットを発行した Kerberos サーバを信頼することにした場合、ユーザ名やパスワードを再入力する代わりにこれを使用できます。 証明書の有効期限は、8 時間がデフォルトの設定です。

インスタンス

Kerberos プリンシパルの承認レベル ラベル。 ほとんどの Kerberos プリンシパルは、user@REALM という形式です(たとえば、smith@EXAMPLE.COM)。 Kerberos インスタンスのある Kerberos プリンシパルは、user/instance@REALM という形式です(たとえば、smith/admin@EXAMPLE.COM)。 Kerberos インスタンスは、認証が成功した場合のユーザの承認レベルを指定するために使用できます。 各ネットワーク サービスのサーバは、Kerberos インスタンスの許可マッピングを適用し実行できますが、必須ではありません。

(注)     

Kerberos プリンシパル名およびインスタンス名はすべて小文字でなければなりません

(注)     

Kerberos レルム名はすべて大文字でなければなりません

KDC2

ネットワーク ホストで稼働する Kerberos サーバおよびデータベース プログラムで構成されるキー発行局。

Kerberos 対応

Kerberos クレデンシャルのインフラストラクチャをサポートするために変更されたアプリケーションやサービスのことを指す用語。

Kerberos レルム

Kerberos サーバに登録されたユーザ、ホスト、およびネットワーク サービスで構成されるドメイン。 Kerberos サーバを信頼して、ユーザまたはネットワーク サービスに対する別のユーザまたはネットワーク サービスの ID を検証します。

(注)     

Kerberos レルム名はすべて大文字でなければなりません

Kerberos サーバ

ネットワーク ホストで稼働しているデーモン。 ユーザおよびネットワーク サービスはそれぞれ Kerberos サーバに ID を登録します。 ネットワーク サービスは Kerberos サーバにクエリーを送信して、他のネットワーク サービスの認証を得ます。

KEYTAB3

ネットワーク サービスが KDC と共有するパスワード。 Kerberos 5 以降のバージョンでは、ネットワーク サービスは KEYTAB を使って暗号化されたサービス クレデンシャルを暗号解除して認証します。 KEYTAB は Kerberos 5 よりも前のバージョンでは、SRVTAB と呼ばれています4

プリンシパル

Kerberos ID とも呼ばれ、Kerberos サーバに基づき、ユーザが誰であるか、サービスが何であるかを表します。

(注)     

Kerberos プリンシパル名はすべて小文字でなければなりません

サービス クレデンシャル

ネットワーク サービスのクレデンシャル。 KDC からクレデンシャルが発行されると、ネットワーク サービスと KDC が共有するパスワードで暗号化されます。 ユーザ TGT ともパスワードを共有します。

SRVTAB

ネットワーク サービスが KDC と共有するパスワード。 SRVTAB は、Kerberos 5 以降のバージョンでは KEYTAB と呼ばれています。

TGT

身分証明書のことで、KDC が認証済みユーザに発行するクレデンシャル。 TGT を受け取ったユーザは、KDC が示した Kerberos レルム内のネットワーク サービスに対して認証を得ることができます。

1 Ticket Granting Ticket(チケット認可チケット)
2 キー発行局
3 キー テーブル
4 サーバ テーブル

Kerberos の動作

Kerberos サーバには、ネットワーク セキュリティ サーバとして設定され、Kerberos プロトコルを使用してリモート ユーザを認証できる controllerを使用できます。 Kerberos をカスタマイズする方法はいくつかありますが、ネットワーク サービスにアクセスしようとするリモート ユーザは、3 つのセキュリティ レイヤを通過しないとネットワーク サービスにアクセスできません。

controllerを Kerberos サーバとして使用してネットワーク サービスを認証するには、リモート ユーザは次の手順を実行する必要があります。

  1. 境界スイッチに対する認証の取得

  2. KDC からの TGT の取得

  3. ネットワーク サービスに対する認証の取得

境界スイッチに対する認証の取得

ここでは、リモート ユーザが通過しなければならない最初のセキュリティ レイヤについて説明します。 ユーザは、まず境界スイッチに対して認証を得なければなりません。 リモート ユーザが境界スイッチに対して認証を得る場合、次のプロセスが発生します。

  1. ユーザが境界スイッチに対して、Kerberos 未対応の Telnet 接続を開始します。

  2. ユーザ名とパスワードの入力を求めるプロンプトをスイッチが表示します。

  3. スイッチが、このユーザの TGT を KDC に要求します。

  4. KDC がユーザ ID を含む暗号化された TGT をスイッチに送信します。

  5. スイッチは、ユーザが入力したパスワードを使って TGT の暗号解除を試行します。

    • 暗号解除に成功した場合は、ユーザはスイッチに対して認証を得ます。

    • 暗号解除に成功しない場合は、ユーザ名とパスワードを再入力(Caps Lock または Num Lock のオン/オフに注意)するか、別のユーザ名とパスワードを入力してステップ 2 の手順を繰り返します。

Kerberos 未対応の Telnet セッションを開始し、境界スイッチの認証を得ているリモート ユーザはファイアウォールの内側にいますが、ネットワーク サービスにアクセスするには、KDC から直接認証を得る必要があります。 ユーザが KDC から認証を得なければならないのは、KDC が発行する TGT はスイッチに保存されており、ユーザがこのスイッチにログオンしないかぎり、追加の認証に使用できないからです。

KDC からの TGT の取得

ここでは、リモート ユーザが通過しなければならない 2 番めのセキュリティ レイヤについて説明します。 ユーザは、ネットワーク サービスにアクセスするために、このレイヤで KDC の認証を得て、KDC から TGT を取得しなければなりません。

KDC に対して認証を得る方法については、『Cisco IOS Security Configuration Guide, Release 12.4』の「Security Server Protocols」の章にある「Obtaining a TGT from a KDC」を参照してください。

ネットワーク サービスに対する認証の取得

ここでは、リモート ユーザが通過しなければならない 3 番めのセキュリティ レイヤについて説明します。 TGT を取得したユーザは、このレイヤで Kerberos レルム内のネットワーク サービスに対して認証を得なければなりません。

ネットワーク サービスに対して認証を得る方法については、『Cisco IOS Security Configuration Guide, Release 12.4』の「Security Server Protocols」の章の「Authenticating to Network Services」を参照してください。

Kerberos を設定する方法

Kerberos 認証済みサーバ/クライアント システムを設定する手順は、次のとおりです。

  • Kerberos コマンドを使用して KDC を設定します。

  • Kerberos プロトコルを使用するようにスイッチを設定します。

設定については、『Cisco IOS Security Configuration Guide, Release 12.4』の「Security Server Protocols」の章にある「Kerberos Configuration Task List」を参照してください。

Kerberos 設定のモニタリング

Kerberos の設定を表示するには、show running-config 特権 EXEC コマンドを使用します。

その他の関連資料

関連資料

関連項目 マニュアル タイトル

セッション アウェアなネットワーキングに対するアイデンティティ コントロール ポリシーおよびアイデンティティ サービス テンプレートの設定。

Session Aware Networking Configuration Guide, Cisco IOS XE Release 3SE (Catalyst 3850 スイッチ)

http:/​/​www.cisco.com/​en/​US/​docs/​ios-xml/​ios/​san/​configuration/​xe-3se/​3850/​san-xe-3se-3850-book.html

RADIUS、TACACS+、Secure Shell、802.1x および AAA の設定。

Securing User Services Configuration Guide Library, Cisco IOS XE Release 3SE (Catalyst 3850 スイッチ)

http:/​/​www.cisco.com/​en/​US/​docs/​ios-xml/​ios/​security/​config_library/​xe-3se/​3850/​secuser-xe-3se-3850-library.html

エラー メッセージ デコーダ

説明 Link

このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

MIB

MIB MIB のリンク

本リリースでサポートするすべての MIB

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http:/​/​www.cisco.com/​go/​mibs

シスコのテクニカル サポート

説明 リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http:/​/​www.cisco.com/​support

Kerberos の機能情報

リリース 機能情報
Cisco IOS XE 3.2SE この機能が導入されました。