インターネットとSaaSへのセキュアなアクセス(ZIA)
Windows ServerとGPO Push用Kerberos信頼関係構成ガイド
この構成ガイドでは、組織のサーバーからZscalerサービスへの一方向のクロスレルム信頼を確立する方法を示します。この一方向の信頼により、Zscalerはドメインの認証されたユーザーを信頼し、その逆は信頼できません。ドメイン コントローラーへの管理者アクセスは、クロスレルムの信頼を確立し、GPOを使用して構成設定をプッシュするために必要です。Kerberosの詳細については、Kerberos認証についてを参照してください。Kerberosの展開の詳細は、Kerberos認証の展開を参照してください。
このガイドの内容:
- 組織のレルム内のKDCは、ドメイン コントローラーとして設定されたWindows Serverです
- WindowsクライアントがWindows 8.1を実行しており、ドメインに参加しています
- ドメインユーザーのJane Doeは、ドメイン認証情報を使用してWindowsクライアントにログインすることができます
- ZscalerドメインはZscalerクラウド名です。この例では、ZSCALERBETA.NETです。クラウド名を見つける方法の詳細は、ZIAのクラウド名とは?を参照してください。
Windows Serverでのクロスレルム信頼をを設定する
このセクションでは、Windows ServerでKDCとActive Directory GPO機能を設定する方法について説明します。Active Directory GPOとGPMCの詳細は、「Windows Active DirectoryとGPMCのドキュメント」を参照してください。
Windows Serverでクロスレルム信頼を設定するには、以下の手順を実行します。
- 1. 新しいトラストを作成する
Windowsサーバーに管理者権限でログインします。サーバーマネージャーを開き、以下を実行します。
- [DNS]にアクセスし、[ツール]メニューからActive Directoryドメインと信頼]を選択します。
画像を参照してください。 - [Active Directoryドメインと信頼関係]ウィンドウで、ドメインにカーソルを合わせ、右クリックして[プロパティー]を選択します。
画像を参照してください。 - [プロパティ]ウィンドウで、[信頼]タブに移動し、[新規信頼]をクリックします。
画像を参照してください。 - [新規信頼ウィザード]が表示されたら、[次へ]をクリックします。
- [信頼名]では、Zscalerクラウド名を大文字で入力し、[次へ]をクリックします。
クラウド名は、ZIA管理ポータルへのログインに使用するURLで確認できます。例えば、https://admin.zscalerbeta.net/にログインすると、次の図に示すように、クラウド名はZSCALERBETA.NETです。
画像を参照してください。 - [信頼タイプ]では、[レルム信頼]を選択し、[次へ]をクリックします。
画像を参照してください。 - [信頼の移行性]では、[非移行的]を選択し、[次へ]をクリックします。
画像を参照してください。 - [信頼の方向]で[一方向:受信]を選択し、[次へ]をクリックします。
画像を参照してください。 - [Trust Password]では、Zscalerからコピーしたパスワードを貼り付けます。
画像を参照してください。 - ウィザードに設定が表示されたら、設定を検証して[次へ]をクリックします。
画像を参照してください。
- [DNS]にアクセスし、[ツール]メニューからActive Directoryドメインと信頼]を選択します。
- 2. トラストプロパティを設定する
- ドメインの[プロパティ]ウィンドウを開きます。
画像を参照してください。 - [プロパティ]ウィンドウで、以下を選択し、[OK]をクリックします。
- もう一方のドメインはKerberos AES Encryptionをサポートしています。
- [非推移的:直接信頼されたドメインのユーザーのみが、信頼するドメインで認証できます。]画像を参照してください。
- ドメインの[プロパティ]ウィンドウを開きます。
- 3. 設定を検証する
次のステップに進む前に、設定が正しいことを確認してください。
- WindowsサーバーでWindows PowerShellを開き、次のコマンドを入力します。
Zscaler Cloud
は、使用するZscalerクラウドの名前に置き換えます。
Get-ADObject -Filter {trustPartner -eq "
Zscaler Cloud
"} -Properties *- 次の値を表示します。
- [CN]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
- msDS-SupportedEncryptionTypes:24
- [名前]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
- objectClass:trustedDomain
- trustAttributes:1
- trustDirection:1
- [trustPartner]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
- trustType:3
画像を見る。
- WindowsサーバーでWindows PowerShellを開き、次のコマンドを入力します。
- 4. GPOを設定し、設定をユーザーにプッシュする
Windowsサーバーで、サーバーマネージャーを開き、以下を実行します。
- ダッシュボードにアクセスし、[ツール]メニューから[グループポリシーの管理]を選択します。
画像を参照してください。 - [グループ ポリシー管理]>[フォレスト]>[ドメイン]>[ドメイン名]>[デフォルト ドメイン ポリシー]に移動し、右クリックして[編集]を選択します。
画像を参照してください。 - [グループポリシー管理エディター]で、[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[Kerberos]の順にアクセスし、設定パネルから、[相互運用可能なKerberos V5レルム設定の定義]を選択してください。
画像を参照してください。 - [相互運用可能なKerberos V5レルム設定の定義]ウィンドウで、[有効]を選択し、[表示する...]をクリックします。
画像を見る。 - [コンテンツの表示]ウィンドウで、次の操作を行います。
- [値の名前]: Zscalerクラウド名を入力します(この例ではZSCALERBETA.NETです)。
- [値]:
<k>kerberos.
Zscaler Cloud
</k>
を入力します。この例では、値は<k>kerberos.zscalerbeta.net</k>
です。
- [OK]をクリックし、[相互運用可能なKerberos V5レルム設定の定義]ウィンドウで[OK]をクリックします。
- [ホスト名からKerberosレルムへのマッピングの定義]を選択します。
画像を見る。画像を参照してください。 - [ホスト名からKerberosレルムへのマッピングの定義]ウィンドウで、[有効]を選択し、[表示する...]をクリックします。
画像を見る。 - [コンテンツの表示]ウィンドウで、次の操作を行います。
- [値の名前]:Zscalerクラウド名を入力します。この例では、ZSCALERBETA.NETです。
- [値]:Zscalerドメイン名を入力します。この例では、.zscalerbeta.net;.gateway.zscalerbeta.netです。
両方のドメイン名には、すべてのサブドメインに一致するように先頭にドットを付ける必要があります。
- [OK]をクリックし、ホスト名からKerberosレルムへのマッピングを定義]ウィンドウで[OK]をクリックし、[グループポリシー管理エディター]を閉じます。
- [グループポリシー管理]>[デフォルトドメインポリシー]にアクセスし、[設定]タブをクリックします。
画像を参照してください。 - [コンピューター構成]>[管理テンプレート]>[システム/Kerberos]を展開し、各ポリシーを検証します。
- 次のポリシーまでスクロールします。
- ダッシュボードにアクセスし、[ツール]メニューから[グループポリシーの管理]を選択します。
- 5. GPO設定を検証する
- Windows PowerShellを開き、次のコマンドを入力して、Zscaler KDCのGPOレジストリ値をリストします。
get-gpregistryvalue -key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MitRealms" -name "Default Domain Policy"
- 以下の値を検証してください。
- 値名:ZSCALERBETA.NET
- 値:kerberos.zscalerbeta.net
画像を参照してください。
- 次のコマンドを入力して、Zscalerドメインの GPO レジストリ値をリストします。
get-gpregistryvalue -key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\domain_realm" -name "Default Domain Policy"
- 以下の値を検証してください。
- 値名:ZSCALERBETA.NET
- 値:zscalerbeta.net;.gateway.zscalerbeta.net
画像を参照してください。
- 6. Windowsワークステーションを設定する
Windowsワークステーションにログインし、コマンド プロンプトを開いて、次のコマンドを実行します。
klistは、ユーザーがドメインにログインし、ドメイン コントローラに接続できることを保証します。ワークステーションがドメインにログインするために使用したKerberosチケットが表示されます。klistを実行してもKerberosチケットが表示されない場合は、ドメインまたはワークステーション固有の構成上の問題があり、先に進む前に解決する必要があります。
gpupdate /force
以下のいずれかを実行することで、Zscaler Kerberosの設定がクライアントに同期され、レジストリが更新されたことを確認することができます。
- WindowsのコマンドプロンプトまたはWindowsのPowershellで、以下のクエリを実行します。
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\domain_realm
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MitRealms
または
- レジストリー エディターを開き、次に示すようにdomain_realmエントリーを検証します。
次に示すように、[MitRealms ]エントリーを検証します。
ブラウザーにKerberos PACファイルのURLを設定します。
ブラウザーを開いてサイトを閲覧し、認証にチャレンジされないか、ブラウザーに[インターネットアクセスが拒否されました]エラーページが表示されないようにします。
閉じる
トラブルシューティング
Kerberos設定のトラブルシューティングを行うには、「Kerberosのトラブルシューティング」および「KerberosのZIA Public Service Edgeエラー コード」を参照してください。
以下は、有用なMicrosoftのドキュメントです。