7.4. 信頼できるドメインの Kerberos FAST
Kerberos Flexible Authentication Secure Tunneling (FAST) は、Active Directory (AD) 環境では Kerberos アーマー機能とも呼ばれます。Kerberos FAST は、クライアントと KDC (Key Distribution Center) 間の Kerberos 通信に追加のセキュリティー層を提供します。IdM では、KDC は IdM サーバーで実行しており、FAST はデフォルトで有効になっています。IdM の 2 要素認証 (2FA) では FAST も有効にする必要があります。
AD では、AD ドメインコントローラー (DC) で、Kerberos アーマー機能はデフォルトで無効になっています。これは、Tools > Group Policy Management > Default Domain Controller Policy のドメインコントローラーで有効にできます。
- Default Domain Controller Policy を右クリックし、edit を選択します。Computer Configuration > Policies > Administrative Templates > System > KDC に移動し、KDC support for claims, compound authentication, and Kerberos armoring をダブルクリックします。
クレームの KDC サポートを有効にすると、ポリシー設定で次のオプションが許可されます。
- Not supported
- Supported
- Always provide claims
- Fail unarmored authentication requests
Kerberos FAST は、IdM クライアントの Kerberos クライアントライブラリーに実装されます。IdM クライアントは、FAST を通知するすべての信頼されたドメインに FAST を使用するように設定するか、Kerberos FAST をまったく使用しないように設定できます。信頼できる AD フォレストで Kerberos アーマーを有効にすると、IdM クライアントはデフォルトで Kerberos FAST を使用します。FAST は、暗号鍵を使用してセキュアなトンネルを確立します。信頼されたドメインのドメインコントローラーへの接続を保護するために、Kerberos FAST は信頼されたドメインからクロスレルムチケット保証チケット (TGT) を取得する必要があります。これは、これらのキーが Kerberos レルム内でのみ有効であるためです。Kerberos FAST は、IdM クライアントの Kerberos hosts キーを使用し、IdM サーバーの支援でレルム間の TGT を要求します。これは、AD フォレストが IdM ドメインを信頼する場合にのみ機能します。これは、双方向の信頼が必要であることを意味します。
AD ポリシーで Kerberos FAST の使用を強制する必要がある場合は、IdM ドメインと AD フォレストとの間で双方向の信頼を確立する必要があります。IdM と AD の両方に、方向および信頼タイプに関するレコードが必要であるため、接続を確立する前にこれを計画する必要があります。
一方向の信頼をすでに確立している場合は、ipa trust-add … --two-way=true
コマンドを実行して既存の信頼合意を削除し、双方向の信頼を作成します。これには、管理資格証明を使用する必要があります。IdM は、AD 側から既存の信頼合意を削除しようとするため、AD アクセスに管理者権限が必要です。AD 管理アカウントではなく共有秘密を使用して元の信頼を確立すると、信頼が双方向として再作成され、信頼されたドメインオブジェクトが IdM 側でのみ変更されます。Windows 管理者は、双方向の信頼を選択し、同じ共有秘密を使用して Windows UI で同じ手順を繰り返して信頼を再作成する必要があります。
双方向の信頼を使用できない場合は、すべての IdM クライアントで Kerberos FAST を無効にする必要があります。信頼できる AD フォレストのユーザーは、パスワードまたはダイレクトスマートカードで認証できます。Kerberos FAST を無効にするには、sssd.conf
ファイルの [domain]
セクションに次の設定を追加します。
krb5_use_fast = never
認証がリモートの Windows クライアントの ssh-keys、GSSAPI 認証、またはスマートカードを使用した SSH に基づく場合は、このオプションを使用する必要がありません。IdM クライアントは DC と通信する必要がないため、このようなメソッドは Kerberos FAST を使用しません。また、IdM クライアントで FAST を無効にすると、2 要素認証の IdM 機能も利用できなくなります。