- - PR -
Active Directory環境認証について
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-07-27 09:57
現在、Active Directory環境では下記の認証が行えると認識しています。 ・Windows 2000 以降ではKERBEROS認証 ・Windows 95, Windows 98 Standard/Second Edition, では AD Client Extension をインストールするとNTLMv2認証で AD 機能の一部が使える。 http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869 上記のURLには セキュリティポリシーの設定 or レジストリの設定で、NTLMv2認証にのみ応答する 設定はあるとの記載がありますが、KERBEROS認証のみで、NTLMv2認証を拒否する 設定はあるのでしょうか? どなたかご教授願います。 | ||||||||||||
|
投稿日時: 2005-07-27 16:11
もうヒトツ質問です。
Samba で net join ads を使用して AD 環境に入った後、 smbmount などで、krb のオプションを使用して Windows マシーンの共有を 仮想フォルダ化することはできるのでしょうか? 私がやってみた時、下記の表示がでて失敗しました。 "Warning: kerberos support will only work for samba servers" 宜しくお願いします。 | ||||||||||||
|
投稿日時: 2005-07-27 19:18
その認識で合ってます。 なお、提示しているMSKBは、日本語の情報も公開されてます。 http://support.microsoft.com/kb/239869/ja/
この設定自体があるかどうかは不明(興味があるので調べるつもり)だけど、 期待される効果としては、 1. ActiveDirectoryに参加している非レガシクライアント(Windows2000/XP/2003)からのみから、 2. ActiveDirectoryに参加しているサーバに対し、 3. Kerberos認証のみを利用した接続を行える という状態になるわけですよね? ActiveDirectoryのグループポリシーにて、ドメインメンバ全体に対し、 IPSecのセキュリティを要求するような状況にしてしまえば、 3.を除けば比較的近い制限された環境が構築できるんじゃないかと思います。 # 暗号化通信自体は余計といえば余計だけど。 | ||||||||||||
|
投稿日時: 2005-07-28 09:37
情報ありがとうございます。
認識はしていました。日本語のリンクを張っておけばよかったですね。
仰る通りです。 非レガシークライアントのみで構成されていれば、 3.の要件を満たしているかと思います。 ファイル共有などの通信で、 レガシークライアントからの接続は出来ないようにして、 KERBEROS認証のみ適用される環境がつくれるのかどうかを 確認したいのです。 調査途中ですが、睨んでいる所は下記の設定項目です。 1.既出のMSKBの設定 2.サービスの NTLMSSP 停止 今は環境がないところにいるので確認できませんので、 アクマデモ、情報収集したうえでの憶測ですが。
なるほどそういうやり方もできますね。 今回は 3. の要件で「ユーザ認証強化」を考えていたので 考えの中から抜け落ちていました。ありがとうございます。 ただ、IPsecは通信速度等に影響がでるかと思われるので、 その辺りがネックになるかもしれないですね。 KERBEROS + IPsec ならかなりセキュアな環境でしょうが。 | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。