Kerberos認証用にActive Directoryを設定するには、Active Directory管理ツールを使用します。識別情報アプリケーションおよびidentity reporting用に新しいActive Directoryユーザアカウントを作成する必要があります。このユーザアカウント名には、識別情報アプリケーションおよびidentity reportingをホストするサーバのDNS名を使用する必要があります。
メモ:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。
Active Directoryの管理者として、Microsoft管理コンソール(MMC)で識別情報アプリケーションをホストするサーバのDNS名を使用して新しいユーザアカウントを作成します。
たとえば、識別情報アプリケーションサーバのDNS名がrbpm.mycompany.comである場合、次の情報を使用してユーザを作成します。
名前: rbpm
[ユーザー ログオン名]: HTTP/rbpm.mycompany.com
[Windows 2000 以前のログオン名]: rbpm
パスワードの設定: 適切なパスワードを指定します。たとえば、「Passw0rd」と指定します。
パスワードを期限切れにしない: このオプションを選択します。
[ユーザーは次回ログオン時にパスワードの変更が必要]: このオプションの選択を解除します。
新しいユーザにサービスプリンシパル名(SPN)を関連付けます。
Active Directoryサーバでコマンドシェルを開きます。
コマンドプロンプトで、次のコマンドを入力します。
setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID
次に例を示します。
setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm
「setspn -L userID」と入力して、setspnを検証します。
ktpassユーティリティを使用して、keytabファイルを生成するには:
コマンドラインプロンプトで、次のように入力します。
ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL
次に例を示します。
ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL
重要:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。
rbpm.keytabファイルを識別情報アプリケーションサーバにコピーします。
Active Directoryの管理者として、MCCでエンドユーザアカウントを作成し、SSOを使用する準備を行います。
このエンドユーザのアカウント名は、シングルサインオンをサポートするために、eDirectoryユーザのある属性値と一致する必要があります。ユーザを作成して「cnano」などの名前を付け、パスワードを記憶し、[ユーザーは次回ログオン時にパスワードの変更が必要]が選択されていないことを確認します。
(オプション)別のサーバにレポーティングコンポーネントをインストールした場合は、Identity Reportingのこれらの手順を繰り返します。
識別情報アプリケーションがKerberosの設定を受諾するようにサーバを設定します。詳細については、セクション 50.2, 識別情報アプリケーションサーバの設定を参照してください。