Kerberos認証(説明付き)
Kerberosはチケットベースのネットワーク認証プロトコルです。クライアント/サーバまたはサーバ/サーバ・アプリケーションのための強固な認証を提供するように設計されています。
古いMicrosoft NT LAN(NTLM)認証プロトコルの代替としてKerberos認証を使用します。
Kerberos認証は相互認証、つまりクライアントがサービスを、サービスがクライアントを認証する必要があります。この方法では、パスワードを公開せずに、クライアントXProtectからXProtectサーバーへ、より確実に認証できます。
アクティブ・ディレクトリ内にサービス・プリンシパル名(SPN)を登録することで、XProtect VMSでの相互認証が可能になります。SPNは、XProtect Server サービスのようなエンティティを一意に識別するエイリアスです。相互認証を使用するすべてのサービスでは、クライアントがネットワーク上のサービスを識別できるように、SPNを登録する必要があります。正しく登録されたSPNがなければ、相互認証を行えません。
以下の表で、Milestoneサービスおよび対応登録する必要がある対応ポート番号を一覧表示します:
サービス | ポート番号 |
|---|---|
| Management Server:IIS | 80:構成可能 |
| Management Server:内部 | 8080 |
| Recording Server:Data Collector | 7609 |
| Failover Server | 8990 |
| Event Server | 22331 |
| LPR Server | 22334 |
アクティブディレクトリに登録する必要があるサービスの数は、現在のインストール状況に依存します。Data Collectorは、Management Server、Recording Server、Event ServerまたはFailover Serverサービスのインストール時に自動的にインストールされます。
サービスを走らせるユーザーのために、2つのSPNsを登録する必要があります。1つはホスト名で、もう1つは全権限を与えられたドメイン名で。
ネットワーク・ユーザー・サービス・アカウントの下でサービスを実行している場合は、このサービスを実行しているコンピュータごとに2つのSPNを登録する必要があります。
これはMilestoneSPN命名スキーム:
VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]
以下は、次の詳細で、コンピュータ上で実行されるRecording ServerサービスのSPNの例です。
Hostname: Record-Server1
Domain: Surveillance.com
登録するSPN:
VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609