ようこそ サインイン
MSDN
印刷用ページ      送信     
クリックして評価とフィードバックをお寄せください
MSDN
MSDN ライブラリ
テクニカルドキュメント
セキュリティ
How To
 作業の手引き
作業の手引き

Windows® 2000 での Kerberos 委任を構成する方法

公開日: 2004年9月7日 | 最終更新日: 2004年9月7日
トピック

目的 目的
適用対象 適用対象
モジュールの使用方法 モジュールの使用方法
要約 要約
前提知識 前提知識
クライアント アカウントで委任が許可されていることを確認する クライアント アカウントで委任が許可されていることを確認する
サーバー プロセス アカウントが委任に対して信頼されていることを確認する サーバー プロセス アカウントが委任に対して信頼されていることを確認する
関連資料 関連資料

目的

このモジュールの目的は次のとおりです。

  • ユーザー アカウントを構成し、委任がサポートされるようにする。

  • サーバー プロセスの実行に使用されるアカウントを構成し、委任がサポートされるようにする。

適用対象

  • Windows 2000 Server (Service Pack 3) 以降のオペレーティング システム

  • Microsoft® Active Directory® ディレクトリ サービス

モジュールの使用方法

このモジュールをよく理解するには、次の前提が必要です。

  • Active Directory を使用する Windows ドメインがあること。

  • Windows 管理ツールを使用して Active Directory を管理した経験があること。

  • 「モジュール 3 認証と認定」を読んでいること。このモジュールでは、ID フローについて説明し、分散 Web アプリケーションにおける委任の概念を紹介しています。

要約

Microsoft Windows 2000 オペレーティング システムは、既定で Kerberos プロトコルを認証に使用します。このモジュールでは、Keberos 委任の構成方法について説明します。Kerberos 委任とは、サーバーがクライアントを偽装し、サーバーがクライアントの代理となってリモート リソースにアクセスできるようにする強力な機能です。

前提知識

委任は非常に強力な機能で、Windows 2000 では制約がありません。この機能は慎重に使用してください。委任をサポートするよう構成されているコンピュータでは、アクセス権を厳格に管理し、この機能が誤用されないようにしてください。Windows Server 2003 の委任機能では制約設定がサポートされています。

サーバーがクライアントを偽装するとき、次の条件が満たされると、Kerberos 認証によって委任レベルのトークンが生成されます。委任レベルのトークンは、リモート コンピュータからのネットワーク認証要求に応答するために使用できます。

  1. 偽装されるクライアント アカウントが、Active Directory で "アカウントは重要なので委任できない" として設定されていない。

  2. サーバー プロセス アカウント (サーバー プロセスの実行に使用するユーザー アカウント、またはローカルの SYSTEM アカウントでプロセスを実行する場合はコンピュータ アカウント) が、Active Directory で、"委任に対して信頼されている" としてマークされている。

メモ

  • Kerberos 委任が正常に機能するためには、すべてのコンピュータ (クライアントおよびサーバー) が同一の Active Directory フォレストに所属している必要があります。

  • サービス コンポーネント内で偽装し、Enterprise Services アプリケーションを介して呼び出し元のコンテキストをフローするには、Enterprise Services をホストするアプリケーション サーバーに、修正ロールアップ パッケージ 18.1 以上がインストールされている必要があります。
    詳細については、「Windows 2000 SP2 以降の COM+ 修正ロールアップ パッケージ 18.1」を参照してください。

クライアント アカウントで委任が許可されていることを確認する

ここでは、クライアント アカウントで委任が許可されていることを確認します。

  • クライアント アカウントで委任が許可されていることを確認するには

  1. 管理者アカウントを使用してドメイン コントローラにログオンします。

  2. タスク バーの [スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

  3. 使用するドメインの [Users] フォルダをクリックします。

  4. 委任対象のユーザー アカウントを右クリックして [プロパティ] をクリックします。

  5. [アカウント] タブをクリックします。

  6. [アカウント オプション] の [アカウントは重要なので委任できない] チェック ボックスがオフになっていることを確認します。

  7. [OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

サーバー プロセス アカウントが委任に対して信頼されていることを確認する

ここでは、サーバー プロセス (偽装を行うプロセス) の実行に使用するアカウントが、クライアント アカウントの委任を許可されているかどうかを確認します。サーバー プロセスの実行に使用するユーザー アカウントを構成する必要があります。ローカルの SYSTEM アカウントでサーバー プロセスを実行する場合は、コンピュータ アカウントを構成する必要があります。サーバー プロセスの実行に Windows アカウントを使用するか、ローカルの SYSTEM アカウントを使用するかに応じて、該当する方の手順に従ってください。

  • サーバー プロセスの実行に Windows ユーザー アカウントを使用している場合に、サーバー プロセス アカウントが委任に対して信頼されていることを確認するには

  1. [Active Directory ユーザーとコンピュータ] の [Users] フォルダで、サーバー プロセス (クライアントを偽装するプロセス) の実行に使用するユーザー アカウントを右クリックし、[プロパティ] をクリックします。

  2. [アカウント] タブをクリックします。

  3. [アカウント オプション] の [アカウントは委任に対して信頼されている] チェック ボックスをオンにします。

  • サーバー プロセスの実行にローカル システム アカウントを使用している場合に、サーバー プロセス アカウントが委任に対して信頼されていることを確認するには

  1. [Active Directory ユーザーとコンピュータ] の [Computers] フォルダを右クリックし、[プロパティ] をクリックします。

  2. サーバーのコンピュータ (クライアントを偽装するプロセスを実行するコンピュータ) を右クリックし、[プロパティ] をクリックします。

  3. [全般] タブの [コンピュータを委任に対して信頼する] をクリックします。

関連資料

  • Windows 2000 SP2 以降の COM+ 修正パッケージ 18.1 で修正されるファイルの一覧については、マイクロソフト サポート技術情報 の 313582「Windows 2000 SP2 以降の COM+ 修正ロールアップ パッケージ 18.1」 (http://support.microsoft.com/default.aspx?scid=kb;ja;313582) を参照してください。

  • ASP.NET、Enterprise Services、および SQL Server を含む委任プロセス全体の構成方法については、「モジュール 5 イントラネット セキュリティ」の「最初の呼び出し元をデータベースにフローする」を参照してください。


© 2008 Microsoft Corporation.All rights reserved. 使用条件  |  商標  |  プライバシー
Page view tracker