50.2 識別情報アプリケーションサーバの設定

Active Directoryで作成したKerberos keytabファイルとユーザアカウントを使用するように、識別情報アプリケーションサーバを設定する必要があります。次に進む前に、セクション 50.1, Active DirectoryでのKerberosユーザアカウントの設定の手順を完了していることを確認します。

メモ:ドメインまたはレルムの参照については、大文字形式を使用してください。たとえば、@MYCOMPANY.COMです。

  1. Kerberos設定のオペレーティングシステム設定を定義するには、次の手順を実行します。

    1. 識別情報アプリケーションをホストするサーバ上のテキストエディタでkrb5ファイルを開きます。

      Linux: /etc/krb5.conf

      Windowsの場合: C:\Windows\krb5.ini

      UNIX: /etc/krb5/krb5.conf

    2. 次の情報をkrb5ファイルに追加します。

      [libdefaults]
    default_realm = WINDOWS-DOMAIN
    kdc_timesync = 0
    forwardable = true
    proxiable = false
[realms]
    WINDOWS-DOMAIN = {
         kdc = FQDN Active Directory Server
         admin_server = FQDN Active  Directory Server
    }
[domain_realm]
    .your.domain = WINDOWS-DOMAIN
    your.domain = WINDOWS-DOMAIN

      次に例を示します。

      [libdefaults]
    default_realm = MYCOMPANY.COM
    kdc_timesync = 0
    forwardable = true
    proxiable = false
[realms]
    MYCOMPANY.COM = {
         kdc = myadserver.mycompany.com
         admin_server = myadserver.mycompany.com
    }
[domain_realm]
    .mycompany.com = MYCOMPANY.COM
    mycompany.com = MYCOMPANY.COM

    3. 変更を保存してkrb5ファイルを閉じます。

  2. (状況によって実行) Tomcat用のKerberos設定情報を定義するには、次の手順を実行します。

    1. Tomcatアプリケーションサーバで、次のコンテンツのサンプルファイルKerberos_login.configを作成します。

      メモ:novluaユーザは、Kerberos_login.configファイルを作成するための許可が必要です。

      com.sun.security.jgss.krb5.accept {
		    com.sun.security.auth.module.Krb5LoginModule required
    debug="true"
		    refreshKrb5Config="true"
    useTicketCache="true"
		    ticketCache="/opt/netiq/idm/apps/tomcat/kerberos/spnegoTicket.cache"
    doNotPrompt="true"
		    principal="HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN"
    useKeyTab="true"
        keyTab="/absolute_path/filename.keytab"
    storeKey="true";
    };

      Windowsサーバの例は次のとおりです。

      keyTab="c:\\NetIQ\\IdentityManager\\apps\\tomcat\kerberos\\rbpm.keytab"

    2. このファイルで、principalおよびkeyTabの値を指定します。次に例を示します。

      principal="HTTP/rbpm.mycompany.com@MYCOMPANY.COM"
keyTab="/home/usr/rbpm.keytab"

      • principalの値は、Kerberosに指定した値と一致している必要があります。詳細については、ステップ 3を参照してください。

      • 識別情報アプリケーションサーバ上のkeytabファイルの絶対パスを指定します。このファイルは識別情報アプリケーションのデフォルトディレクトリに存在している必要があります。

    3. JVM java.securityファイルに次の行を記述して、Kerberos_login.configファイルを参照します。 

      login.config.url.1=file:/opt/netiq/idm/apps/tomcat/kerberos/Kerberos_login.config

      一覧表示されているパスは、Linuxサーバのデフォルトのインストール場所です。

      Windowsサーバのjava.securityecurityファイルの例は次のとおりです。

      login.config.url.1=file:c:/NetIQ/IdentityManager/apps/tomcat/kerberos/Kerberos_login.config

  3. RBPM設定ユーティリティの認証方法を指定するには、次の手順を完了してください。

    1. Configupdateユーティリティを開きます。

    2. [認証]タブをクリックします。

    3. [認証方法]セクションが表示されるまで下方にスクロールします。

    4. [方法]フィールドでは、[Kerberos]を選択します。

    5. [マッピング属性名]フィールドでは、「cn」を指定します。

    メモ:RBPM設定ユーティリティの詳細については、セクション 40.0, 識別情報アプリケーションの設定の管理を参照してください。

  4. (オプション)別のサーバにレポーティングコンポーネントをインストールした場合は、Identity Reportingのこれらの手順を繰り返します。

  5. エンドユーザが識別情報アプリケーションにアクセスするために使用するブラウザを設定します。詳細については、セクション 50.3, 統合Windows認証を使用するためのエンドユーザのブラウザの設定を参照してください。