マイクロソフト以外の Kerberos 領域での相互運用のための Windows Server 2008 のグループ ポリシーの設定

はじめに

マイクロソフトは、Windows Server 2008 と Windows Vista Service Pack 1 (SP1) での認証に Kerberos プロトコルのマイクロソフト以外の実装を使用するこれらのコンピューターをできるようにする相互運用機能を提供します。 この構成を有効にするには、Microsoft 以外の Kerberos 領域に結合される複数のコンピューターでいくつかの設定を変更しなければなりません。 Windows Server 2008 で、管理者はグループ ポリシーによって複数のコンピューターにこれらの構成設定を展開できます。 この資料では、Windows Server 2008 と Windows Vista SP1 では、Microsoft 以外の Kerberos 実装との相互運用性をサポートするために追加されたグループ ポリシー設定について説明します。

詳細

次の設定は、グループ ポリシー管理コンソールで次の場所にあります。
コンピューターの構成 \ 管理用 Templates\System\Kerberos

ホスト名--・ Kerberos 領域へのマッピングを定義するポリシー。

このポリシー設定では、DNS ホスト名とは、Kerberos 領域にマップする DNS サフィックスを指定することができます。

このポリシー設定を有効にした場合は、表示し、DNS ホスト名とは、グループ ポリシーで定義されている Kerberos 領域にマップする DNS サフィックスの一覧を変更します。

このポリシー設定を無効にする場合は、グループ ポリシーを定義するホスト名--・ Kerberos 領域のマッピングの一覧が削除されます。


このポリシー設定を構成しない場合は、領域のマッピングが存在する場合、ローカルのレジストリで定義されているホスト名--・ Kerberos 領域のマッピングが使用されます。


マッピングの一覧を表示するのには、ポリシー設定を有効にして、[表示] をクリックします。

マッピングを追加するには、以下の手順を実行します。
  1. ポリシー設定を有効にします。
  2. 構文に注意してくださいし、し、[表示] をクリックします。
  3. 追加] をクリックし、手順 2 でメモした構文を使用して、レルム名、DNS ホスト名と DNS サフィックスの一覧を入力します。
マッピングを削除するには、マッピングのエントリをクリックし、[削除] をクリックします。

マッピングの編集、リストから現在のエントリを削除して新しいマッピングを追加し、別のパラメーターを持ちます。

相互運用可能な Kerberos バージョン 5 レルムの設定を定義するポリシー。

このポリシー設定での Kerberos クライアントできるように、クライアントから認証相互運用可能な Kerberos バージョン 5 レルムでは、このポリシー設定で定義されています。


このポリシー設定を有効にした場合は、表示し、相互運用可能な Kerberos バージョン 5 レルムのリストとその設定を変更します。



このポリシー設定を無効にした場合は、相互運用可能な Kerberos バージョン 5 レルムの設定をグループ ポリシーの定義が削除されます。


このポリシー設定を構成しない場合は、他のレルムの設定が存在する場合に、相互運用可能な Kerberos バージョン 5 レルムの設定、ローカル レジストリで定義されているが使用されます。


相互運用可能な Kerberos バージョン 5 レルムのリストを表示するのには、ポリシー設定を有効にして、[表示] をクリックします。

相互運用可能な Kerberos バージョン 5 レルムを追加するには、次の手順を実行します。
  1. ポリシー設定を有効にします。
  2. 構文に注意してくださいし、し、[表示] をクリックします。
  3. [追加] をクリックして、[値名] ボックスで、相互運用可能な Kerberos バージョン 5 の領域名を入力して [] ボックスの設定の定義を入力します。手順 2 でメモした構文を使用します。
相互運用可能な Kerberos バージョン 5 レルムを削除する、Kerberos バージョン 5 のエントリをクリックし、[削除] をクリックします。

マッピングの編集、リストから現在のエントリを削除して新しいマッピングを追加し、別のパラメーターを持ちます。

ポリシー: KDC の厳密な検証を必要とします。

このポリシー設定は、クライアントがキー配布センター (KDC) 証明書を確認するときに、Kerberos クライアントの動作を制御します。

: このポリシー設定を有効にした場合
  • Kerberos クライアントは KDC の X.509 証明書には拡張キー使用法 (EKU) 拡張内の KDC キーの目的のオブジェクト識別子が含まれている必要があります。
  • Kerberos クライアントは KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) 拡張機能が含まれている必要があります。
  • コンピューターがドメインに参加している場合、Kerberos クライアントは KDC の X.509 証明書を NTAUTH ストアに証明機関が署名する必要がありますを必要があります。
  • コンピューターがドメインに参加していない場合の Kerberos クライアントは、スマート カードのルート証明機関の証明書の KDC の X.509 証明書パス検証で使用します。
無効にした場合、またはこのポリシー設定を構成しなかった場合は、Kerberos クライアントが必要ですのみ KDC 証明書が EKU 拡張にサーバー認証目的のオブジェクト識別子に含まれています。

関連情報

Kerberos 5 の相互運用性の詳細については、次のマイクロソフト TechNet Web サイトを参照してください。
プロパティ

文書番号:947706 - 最終更新日: 2017/02/02 - リビジョン: 1

フィードバック