50.1 Active DirectoryでのKerberosユーザアカウントの設定

Kerberos認証用にActive Directoryを設定するには、Active Directory管理ツールを使用します。識別情報アプリケーションおよびidentity reporting用に新しいActive Directoryユーザアカウントを作成する必要があります。このユーザアカウント名には、識別情報アプリケーションおよびidentity reportingをホストするサーバのDNS名を使用する必要があります。

メモ:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。

  1. Active Directoryの管理者として、Microsoft管理コンソール(MMC)で識別情報アプリケーションをホストするサーバのDNS名を使用して新しいユーザアカウントを作成します。

    たとえば、識別情報アプリケーションサーバのDNS名がrbpm.mycompany.comである場合、次の情報を使用してユーザを作成します。

    名前: rbpm

    [ユーザー ログオン名]: HTTP/rbpm.mycompany.com

    [Windows 2000 以前のログオン名]: rbpm

    パスワードの設定: 適切なパスワードを指定します。たとえば、「Passw0rd」と指定します。

    パスワードを期限切れにしない: このオプションを選択します。

    [ユーザーは次回ログオン時にパスワードの変更が必要]: このオプションの選択を解除します。

  2. 新しいユーザにサービスプリンシパル名(SPN)を関連付けます。

    1. Active Directoryサーバでコマンドシェルを開きます。

    2. コマンドプロンプトで、次のコマンドを入力します。

      setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID 

      次に例を示します。

      setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm
    3. setspn -L userID」と入力して、setspnを検証します。

  3. ktpassユーティリティを使用して、keytabファイルを生成するには:

    1. コマンドラインプロンプトで、次のように入力します。

      ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL

      次に例を示します。

                        ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm  /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL
                      

      重要:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。

    2. rbpm.keytabファイルを識別情報アプリケーションサーバにコピーします。

  4. Active Directoryの管理者として、MCCでエンドユーザアカウントを作成し、SSOを使用する準備を行います。

    このエンドユーザのアカウント名は、シングルサインオンをサポートするために、eDirectoryユーザのある属性値と一致する必要があります。ユーザを作成して「cnano」などの名前を付け、パスワードを記憶し、[ユーザーは次回ログオン時にパスワードの変更が必要]が選択されていないことを確認します。

  5. (オプション)別のサーバにレポーティングコンポーネントをインストールした場合は、Identity Reportingのこれらの手順を繰り返します。

  6. 識別情報アプリケーションがKerberosの設定を受諾するようにサーバを設定します。詳細については、セクション 50.2, 識別情報アプリケーションサーバの設定を参照してください。