Active Directoryで作成したKerberos keytabファイルとユーザアカウントを使用するように、識別情報アプリケーションサーバを設定する必要があります。次に進む前に、セクション 50.1, Active DirectoryでのKerberosユーザアカウントの設定の手順を完了していることを確認します。
メモ:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。
Kerberos設定のオペレーティングシステム設定を定義するには、次の手順を実行します。
識別情報アプリケーションをホストするサーバ上のテキストエディタでkrb5ファイルを開きます。
Linux: /etc/krb5.conf
Windowsの場合: C:\Windows\krb5.ini
UNIX: /etc/krb5/krb5.conf
次の情報をkrb5ファイルに追加します。
[libdefaults] default_realm = WINDOWS-DOMAIN kdc_timesync = 0 forwardable = true proxiable = false [realms] WINDOWS-DOMAIN = { kdc = FQDN Active Directory Server admin_server = FQDN Active Directory Server } [domain_realm] .your.domain = WINDOWS-DOMAIN your.domain = WINDOWS-DOMAIN
次に例を示します。
[libdefaults] default_realm = MYCOMPANY.COM kdc_timesync = 0 forwardable = true proxiable = false [realms] MYCOMPANY.COM = { kdc = myadserver.mycompany.com admin_server = myadserver.mycompany.com } [domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM
変更を保存してkrb5ファイルを閉じます。
(状況によって実行) Tomcat用のKerberos設定情報を定義するには、次の手順を実行します。
Tomcatアプリケーションサーバで、次のコンテンツのサンプルファイルKerberos_login.configを作成します。
メモ:novluaユーザは、Kerberos_login.configファイルを作成するための許可が必要です。
com.sun.security.jgss.krb5.accept { com.sun.security.auth.module.Krb5LoginModule required debug="true" refreshKrb5Config="true" useTicketCache="true" ticketCache="/opt/netiq/idm/apps/tomcat/kerberos/spnegoTicket.cache" doNotPrompt="true" principal="HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN" useKeyTab="true" keyTab="/absolute_path/filename.keytab" storeKey="true"; };
Windowsサーバの例は次のとおりです。
keyTab="c:\\NetIQ\\IdentityManager\\apps\\tomcat\kerberos\\rbpm.keytab"
このファイルで、principalおよびkeyTabの値を指定します。次に例を示します。
principal="HTTP/rbpm.mycompany.com@MYCOMPANY.COM" keyTab="/home/usr/rbpm.keytab"
principalの値は、Kerberosに指定した値と一致している必要があります。詳細については、ステップ 3を参照してください。
識別情報アプリケーションサーバ上のkeytabファイルの絶対パスを指定します。このファイルは識別情報アプリケーションのデフォルトディレクトリに存在している必要があります。
JVM java.securityファイルに次の行を記述して、Kerberos_login.configファイルを参照します。
login.config.url.1=file:/opt/netiq/idm/apps/tomcat/kerberos/Kerberos_login.config
一覧表示されているパスは、Linuxサーバのデフォルトのインストール場所です。
Windowsサーバのjava.securityecurityファイルの例は次のとおりです。
login.config.url.1=file:c:/NetIQ/IdentityManager/apps/tomcat/kerberos/Kerberos_login.config
RBPM設定ユーティリティの認証方法を指定するには、次の手順を完了してください。
Configupdateユーティリティを開きます。
[認証]タブをクリックします。
[認証方法]セクションが表示されるまで下方にスクロールします。
[方法]フィールドでは、[Kerberos]を選択します。
[マッピング属性名]フィールドでは、「cn」を指定します。
メモ:RBPM設定ユーティリティの詳細については、セクション 40.0, 識別情報アプリケーションの設定の管理を参照してください。
(オプション)別のサーバにレポーティングコンポーネントをインストールした場合は、Identity Reportingのこれらの手順を繰り返します。
エンドユーザが識別情報アプリケーションにアクセスするために使用するブラウザを設定します。詳細については、セクション 50.3, 統合Windows認証を使用するためのエンドユーザのブラウザの設定を参照してください。