インターネットとSaaSへのセキュアなアクセス(ZIA)
Kerberos認証の展開ガイドライン
Kerberos展開のガイドライン
Kerberosを導入する前に、以下のガイドラインを確認してください。
- Kerberos認証を実施するには、組織は、ポート80、443、または8800にトラフィックを送信する必要があります。
- Zscalerサービスは、そのロケーションが認証を有効にしていない場合を除き、ポート8800で受け取るすべての明示的な転送トラフィックにKerberosを強制的に実施します。SSLインスペクション設定やその他の設定は、そのロケーションから継承されます。あるロケーションでKerberosが有効になっていないが、そのロケーションの一部のユーザーにKerberosを使用させたい場合、そのユーザーのトラフィックもポート8800に送信することができます。リモートユーザーがトラフィックをポート8800に送信することも確認してください。このサービスでは、このトラフィックに対してSSLインスペクションは実行されません。
- あるロケーションでKerberosを有効にすると、そのロケーションとその専用プロキシ ポートからサービスに明示的に転送されるすべてのトラフィックにKerberos認証が実施されます。したがって、あるロケーションでKerberosを有効にすると、ポート80または443にトラフィックを転送することができ、サービスは依然としてKerberos認証を実施することになります。
- 一部またはすべてのユーザーに対してKerberos認証を展開しているロケーションでは、認証を有効にする必要があります。
Kerberosを導入する前に完了する必要があるタスクは、「Kerberosの要件を参照してください。
このサービスは、明示モードでサービスに転送されるトラフィックに対してのみ、Kerberos認証をサポートします。ロケーションの設定や宛先ポートに関係なく、透過モードでサービスに転送されるトラフィック(つまり、GREまたはIPSecトンネルを介して転送され、ブラウザーがPACファイルを使用してトラフィックを転送するように構成されていないトラフィック)のKerberos認証はサポートしません。
Kerberosの展開オプション
Kerberosは、ビジネス要件に応じて、単独で使用することも、他の認証メカニズムと組み合わせて使用することもできます。一般的な導入シナリオとガイドラインを次に示します。
ロケーション内のすべてのユーザーに対するKerberosの使用
あるロケーションに対してKerberosを有効にし、その場所のすべてのユーザーにKerberosによる認証を要求することができます。あるロケーションのすべてのユーザーに対してKerberosを展開するには、以下のようにします。
- Zscalerサービスですべてのユーザーをプロビジョニングします。
- Kerberosを構成し、そのロケーションに対して有効にします。「Kerberosの導入を参照してください。あるロケーションでKerberosを有効にすると、サービスは自動的にKerberosを使用してそのロケーションからユーザーを認証します。
- デフォルトのKerberos PACファイルURLをそのロケーションのすべてのユーザーに配布します。デフォルトのKerberos PACファイルは、トラフィックをZIA Public Service EdgeのデフォルトのKerberosポートであるポート8800に転送します。このロケーションではKerberosが有効になっているため、トラフィックをポート8800に送信する必要はありません。ただし、ファイアウォールの制約により、トラフィックをポート8800ではなくポート80に送信する場合は、デフォルトのKerberos PACファイルをコピーし、${GATEWAY_HOST}:8800変数を${GATEWAY_HOST}:80、${SECONDARY_GATEWAY_HOST}:8800を${SECONDARY_GATEWAY_HOST}:80に置き換えます。または、組織が専用のプロキシー ポートをサブスクライブしている場合は、代わりにそのポートを指定します。「デフォルトのZscaler Kerberos PACファイルの使用」を参照してください。
ロケーション内の一部のユーザーに対するKerberosの使用
あるロケーションの一部のユーザーがすでにプライマリー認証メカニズム(LDAPやSAMLなど)を持っているため、そのユーザーにKerberos経由で認証したい場合は、デフォルトのKerberos PACファイルURLをそれらのユーザーに配布できます。特定のユーザーに対してKerberos認証を導入するには、次の手順を実行します。
- Zscalerサービス上で認証にKerberosを使用するユーザーをプロビジョニングします。
- Kerberosを構成しますが、そのロケーションに対して有効にしないでください。「Kerberosの導入を参照してください。
- デフォルトのKerberos PACファイルのURLを適切なユーザーに配布します。「デフォルトのZscaler Kerberos PACファイルの使用を参照してください。
リモート ユーザーに対するKerberosの使用
リモートユーザーにKerberos認証を使用するには、リモートユーザーが次の要件を満たしていることを確認します。
- リモート ユーザーは、KDCプロキシに接続するためにDirectAccessを使用する必要があります。DirectAccessは、Windows 7 Enterprise、Windows 7 Ultimate、Windows 8 Enterpriseの各エディションでのみサポートされています。Windows 7 ProfessionalとWindows 8 ProfessionalはDirectAccessをサポートしていません。OS XおよびLinux用のネイティブ クライアントはありません。OS XおよびLinux用のネイティブ クライアントはありません。DirectAcessを使用しないリモート ユーザー アクセスは、他のVPNソリューションでも機能する可能性があります。
- デフォルトのKerberos PACファイルを編集し、そのURLをリモート ユーザーに配布します。デフォルトのKerberos PACファイルをコピーし、KDCプロキシ ホスト名のバイパスを追加します。デフォルトの宛先ポートであるポート8800を保持して、リモート ユーザー トラフィックがZIA Public Service Edgeのそのポートに送信されるようにします。リモート ユーザー トラフィックを専用のプロキシ ポートに送信して、サービスがカスタマイズされたSSL設定を適用できるようにするには、次の手順を実行します。
- PACファイルでは、宛先ポートとしてプロキシ専用ポートを指定します。
- 専用プロキシ ポートに関連する場所で、Kerberosが有効になっていることを確認します。