サポートチーム便り2010.11.17
Kerberos認証とクロック
Question
Windows 2003 ドメインから iSeries ユーザーに ID をマップしようと EIM を構成しているところです。Redbook「Windows-based Single Signon and the EIM Framework」 (bit.ly/9pYNmB) の手順をきちんと踏んだので、klist を実行すると正しいデフォルト・プリンシパルが表示されます。ところが、Kerberos 認証を使用して Navigator を実行すると、次のエラーが表示されます。
CWBSY1017 - Kerberos credentials not valid on server rc=612
何がいけないのでしょうか。
Answer
Kerberos は、再生や介入者による攻撃を防ぐため時間の同期には非常にうるさいのです。SSO の要件の 1 つに、Kerberos トランザクションに関わるすべてのシステム、例えば Windows クライアント、Windows サーバー、および IBM i のクロックは互いに 5 分以内でなければならないというものがあります。CWBSY1017 rc=612 が意味しているのは、おそらく PC のクロックと AS/400 のクロックの時間差は 5 分を超えているということでしょう。
