概要
InterScan Messaging Security Virutual Appliance(以降、IMSVA)とLDAPサーバの
連携にてKerberosを使いたいです。設定方法を教えてください。
詳細
IMSVAはKerberos認証を用いたLDAPサーバとの連携が可能です。 設定において注意点がございますので、以下の説明をご確認ください。
1. 構成例
本FAQの説明にはこちらの構成例を用います。2. IMSVA-LDAPの通信フロー
IMSVA-LDAPの通信フローについてはこちらにまとめております。3. IMSVA9.1の設定画面について
IMSVA9.1のLDAP連携設定画面の関連パラメータはこちらにまとめております。4. 既知の制限事項1
IMSVA-LDAP(Kerberos認証)の連携設定([管理]-[IMSVA設定]-[接続]-[LDAP]-[追加])の画面で必要なパラメータを入力し、追加ボタンをクリックすると以下のエラーが表示されることがあります。LDAPサーバ1の接続に失敗
LDAPサーバ2の接続に失敗
本エラーが発生する原因は上記「3」の通信シーケンス「5,6」に起因して発生します。本来LDAPサーバ1に接続しなければ通信が成立しないが、返却されるSRVレコードの並び順がLDAPサーバ2が先となった場合、LDAP1機能へのアクセスチケットを持ってLDAPサーバ2へアクセスいたします。
その場合認証エラーとなり、上記のエラーが管理Webインターフェースに表示されます。本事象は以下の手順で回避が可能となります。
■回避手順
======
1. IMSVAへsshでログインします。(rootでログイン)
2. /opt/trend/imss/config/imss.ini をバックアップします。
3. imss.iniに以下の記述を追記します。
[LDAP-SPN]
ldap1.trend.local=ldap1@TREND.LOCAL
ldap2.trend.local=ldap2@TREND.LOCAL
※LDAPサーバがシングル構成の場合はLDAP1のみを
設定します。
設定します。
4. 以下のコマンドで管理機能を再起動します。
# /opt/trend/imss/script/S99ADMINUI restart
※メール配送、セキュリティスキャンには影響なし
======
5.既知の制限事項2
上記「3>④」にてKDCサーバを設定します。
本画面より複数のKDCサーバを設定することができない制限があり、LDAP1で障害が発生した場合においてもKDCへのチケット要求がLDAP1へ送信されることが確認されております。
本事象を回避するためにはこちらの修正プログラム(以降、HotFix:1843)を適用ください。また、設定方法は付属のReadmeを確認ください。
本画面より複数のKDCサーバを設定することができない制限があり、LDAP1で障害が発生した場合においてもKDCへのチケット要求がLDAP1へ送信されることが確認されております。
本事象を回避するためにはこちらの修正プログラム(以降、HotFix:1843)を適用ください。また、設定方法は付属のReadmeを確認ください。
※「7. リリース履歴 > Hotfix 1841 > 機能3」が該当の設定です。
※ 本HotFixを入手したいお客様は当社サポートまでお問い合わせお願い申し上げます。
