請使用 Active Directory 管理工具來對 Kerberos 驗證設定 Active Directory。您需要為 Identity Applications 和 Identity Reporting 建立新的 Active Directory 使用者帳戶。該使用者帳戶名稱必須使用代管 Identity Applications 和 Identity Reporting 的伺服器的 DNS 名稱。
附註:對於網域或領域參考,請使用大寫格式。例如 @MYCOMPANY.COM。
以 Active Director 中的管理員身分,使用 Microsoft Management Console (MMC) 建立一個包含 Identity Applications 所在伺服器 DNS 名稱的新使用者帳戶。
例如,如果 Identity Applications 伺服器的 DNS 名稱為 rbpm.mycompany.com,則可以使用以下資訊來建立使用者︰
名: rbpm
使用者登入名稱: HTTP/rbpm.mycompany.com
載入 Windows 前的登入名稱: rbpm
設定密碼: 指定相應的密碼。例如:Passw0rd。
密碼永不過期: 選取此選項。
使用者必須在下次登入時變更密碼: 不要選取此選項。
將新使用者與服務主體名稱 (SPN) 相關聯。
在 Active Directory 伺服器中開啟一個 cmd 外圍程序。
在指令提示符處,輸入以下指令:
setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID
例如:
setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm
輸入 setspn -L 使用者 ID 以驗證 setspn。
若要產生 keytab 檔案,請使用 ktpass 公用程式︰
在指令行提示符處,輸入以下指令:
ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL
例如:
ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL
重要:對於網域或領域參考,請使用大寫格式。例如,@MYCOMPANY.COM。
將 rbpm.keytab 檔案複製到 Identity Applications 伺服器中。
以 Active Directory 中的管理員身分使用 MCC 建立一個最終使用者帳戶,以便為 SSO 做好準備。
若要支援單一登入,該終端使用者帳戶名稱必須與 eDirectory 使用者的某個屬性值相符。建立名稱類似於 cnano 的使用者,記住密碼,並確保不要選取使用者必須在下次登入時變更密碼。
(選擇性) 如果您已將報告元件安裝在單獨的伺服器上,請對 Identity Reporting 重複這些步驟。
將 Identity Applications 的伺服器設定為接受 Kerberos 組態。如需詳細資訊,請參閱節 27.2, 設定 Identity Applications 伺服器。