Outlook 2016 for Mac では、Microsoft Exchange Server とスタンドアロン LDAP アカウントを使用した認証方法として Kerberos プロトコルがサポートされています。 Kerberos プロトコルでは、暗号化を使用して、クライアントとサーバー間、または 2 つのサーバー間のネットワーク接続に対してセキュリティで保護された相互認証を提供します。
Kerberos プロトコルはチケット発行に基づいています。 このスキームでは、認証サーバーに ID を証明するために、クライアントが有効なユーザー名とパスワードを 1 回だけ指定する必要があります。 次に、認証サーバーは、クライアント情報と、指定した期間が経過した後に期限切れになるセッション キーを含む、クライアントで暗号化されたチケットを付与します。 その後、クライアントはパスワードを使用してチケットの暗号化を解除しようとします。 クライアントがチケットの暗号化を正常に解除すると、チケットが保持され、クライアントとサーバーによって共有されます。 この復号化されたチケットは、クライアントの ID の証明を示し、クライアントの認証に使用されます。 チケットに含まれるタイムスタンプは、それが最近生成されたチケットであり、リプレイ攻撃ではないことを示します。 攻撃者がチケット内の情報をキャプチャして復号化しようとすると、侵害は現在のセッションに限定されます。 クライアントは、ネットワーク上で同じチケットを使用して、他のネットワーク リソースを要求できます。 このチケット発行スキームを使用するには、クライアントとサーバーの両方がドメイン キー配布センター (KDC) への信頼された接続を持っている必要があります。
Mac OS X には、パスワードの変更、有効期限と強制パスワードの変更、Active Directory のレプリケーションとフェールオーバーなど、Microsoft Kerberos 認証と Active Directory 認証ポリシーの組み込みサポートが含まれています。 Mac OS X Kerberos サービスを利用することで、Outlook for Mac ではシングル サインオン メカニズムを使用して、パスワード処理が向上し、セットアップエクスペリエンスが向上します。
Kerberos 認証を使用する利点
Kerberos は、セキュリティで保護されたシングル サインオン、信頼されたサード パーティの相互認証サービスを提供します。
セキュリティで保護された Kerberos は、クリア テキストでネットワーク経由でパスワードを送信しないため、セキュリティで保護されています。
シングル サインオン エンド ユーザーは、Kerberos 認証をサポートするすべてのネットワーク リソースにアクセスするために 1 回だけログインする必要があります。 ログイン セッションの開始時に Kerberos を介してユーザーが認証されると、そのユーザーの資格情報は、その日中にアクセスするすべてのリソースに透過的に渡されます。
信頼されたサード パーティ Kerberos は、ネットワーク上のすべてのシステムが本質的に信頼する一元化された認証サーバーを介して動作します。 すべての認証要求は、集中管理された Kerberos サーバー経由でルーティングされます。
相互認証 ユーザーの ID と通信しているサーバーの ID を確認することで、機密情報の機密性を保護します。
Kerberos 認証と Outlook
組織の Exchange サーバーが使用する認証の種類を決定する必要があります。 Kerberos プロトコルまたはその他のサポートされている認証方法 (NTLM、基本認証、または Exchange サーバーのフォーム ベース認証) を使用できます。 Outlook for Mac では、ユーザーが選択する認証方法の種類を制御することはできません。 組織の Exchange サーバーが Kerberos 認証を使用していて、そのコンピューターが企業ネットワークに接続されている場合は、Kerberos 認証を選択するようユーザーに依頼する必要があります。
Outlook for Mac で Exchange アカウントを設定する場合は、[方法] ポップアップ メニューの [Kerberos ] をクリックするか、他のすべての種類の認証で [ユーザー名とパスワードの ] をクリックする必要があります。 Kerberos 認証方法を選択すると、ユーザー名 (ドメインを含む) フィールドと パスワード フィールドが非表示になります。 Kerberos プロトコルが有効になっている場合は、HTTP や LDAP など、アカウントに関連するすべてのサーバーに対して認証を試みるために使用されます。 アカウント設定で Kerberos プロトコルが無効になっている場合、そのアカウントに関連するサーバーに対して Kerberos 認証は試行されません。
新しい Exchange アカウントの場合、Kerberos プロトコルは既定で無効になっており、Kerberos ID ポップアップ メニューで None が選択されています。 Kerberos プロトコルを有効にすると、ユーザーは有効な Kerberos ID を選択または作成できます。 自動検出を使用してアカウントを作成した場合、Kerberos ID ポップアップ メニューに既存の ID が設定されます。 Kerberos プロトコルは、Mac OS X 資格情報キャッシュまたは _kerberos._tcp に少なくとも 1 つの Kerberos チケットが存在する場合に、サーバーに対して自動検出を試みます。ドメイン< レコード>ドメイン ネーム サーバー (DNS) から使用できます。 自動検出プロセスが成功すると、アカウントの Kerberos ID ポップアップ メニューにチケットが設定されます。 自動検出プロセスに Kerberos 認証の成功が含まれていない場合、アカウントの Kerberos 設定は無効になり、Kerberos ID ポップアップ メニュー [なし] に設定されます。
新しい Kerberos ID を作成するには、[新しい Kerberos ID の作成] リンクを選択します。 メッセージが表示されたら、新しい Kerberos ID のユーザー名とパスワードを指定します。
[キーチェーン パスワードを記憶する] チェックボックスがオンになっている場合、指定された資格情報はキーチェーンにキャッシュされ、有効期限が切れる 15 分前にチケットを更新するために使用されます。
管理者向けの Kerberos 認証
アカウントのプライマリ メールボックス サーバーが Kerberos プロトコルをサポートしていない場合、または KDC が失敗した場合、Kerberos 認証が失敗する可能性があります。 Kerberos プロトコルを使用してユーザーが正常に認証されるようにするには、ユーザーが別のネットワーク サービスにアクセスできるように KDC が稼働していることを確認する必要があります。 エンタープライズ環境とミッション クリティカルな環境では、管理者が少なくとも 1 つのフェールオーバー KDC を作成することが重要です。
Kerberos 認証が失敗した場合、Outlook for Mac には、サポートされている他の認証メカニズムを使用するオプションが用意されています。 Microsoft Exchange の電子メール アカウントで使用できる認証方法の種類は、認証がフロントエンド サーバーとバックエンド サーバーのどちらで実行されるかによって異なります。