您必須對 Identity Applications 伺服器進行設定,讓其使用您在 Active Directory 中建立的 Kerberos keytab 檔案和使用者帳戶。在繼續下一步之前,請務必完成節 27.1, 在 Active Directory 中設定 Kerberos 使用者帳戶 中的操作。
附註:對於網域或領域參考,請使用大寫格式。例如 @MYCOMPANY.COM。
若要定義 Kerberos 組態的作業系統設定,請完成以下步驟︰
在代管 Identity Applications 的伺服器上的文字編輯器中,開啟 C:\Windows\krb5.ini 中的 krb5 檔案。
將以下資訊新增至 krb5 檔案︰
[libdefaults] default_realm = WINDOWS-DOMAIN kdc_timesync = 0 forwardable = true proxiable = false [realms] WINDOWS-DOMAIN = { kdc = FQDN Active Directory Server admin_server = FQDN Active Directory Server } [domain_realm] .your.domain = WINDOWS-DOMAIN your.domain = WINDOWS-DOMAIN
例如:
[libdefaults] default_realm = MYCOMPANY.COM kdc_timesync = 0 forwardable = true proxiable = false [realms] MYCOMPANY.COM = { kdc = myadserver.mycompany.com admin_server = myadserver.mycompany.com } [domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM
儲存變更並關閉 krb5 檔案。
(視情況而定) 若要定義 Tomcat 的 Kerberos 組態資訊,請完成以下步驟︰
在 Tomcat 應用程式伺服器上,建立包含以下內容的範例 Kerberos_login.config 檔案︰
附註:novlua 使用者需要相應的許可權才能建立 Kerberos_login.config 檔案。
com.sun.security.jgss.krb5.accept { com.sun.security.auth.module.Krb5LoginModule required debug="true" refreshKrb5Config="true" useTicketCache="true" ticketCache="c:\NetIQ\idm\apps\tomcat\kerberos\spnegoTicket.cache" doNotPrompt="true" principal="HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN " useKeyTab="true" keyTab="/absolute_path/filename.keytab" storeKey="true"; };
Windows 伺服器上的範例如下所示︰
keyTab="c:\\NetIQ\\idm\\apps\\tomcat\kerberos\\rbpm.keytab"
在該檔案中為 principal 和 keyTab 指定值。例如:
principal="HTTP/rbpm.mycompany.com@MYCOMPANY.COM" keyTab="/home/usr/rbpm.keytab"
principal 的值必須與您為 Kerberos 指定的值相符。如需詳細資訊,請參閱步驟 3。
提供 Identity Applications 伺服器上 keytab 檔案的絕對路徑。該檔案不一定位於 Identity Applications 的預設目錄中。
使用以下指令行在 JVM java.security 檔案中參考 Kerberos_login.config 檔案:
login.config.url.1=file:c:\NetIQ\idm\apps\tomcat\kerberos\Kerberos_login.config
若要在 RBPM 組態公用程式中指定驗證方法,請完成以下步驟︰
開啟 Configupdate 公用程式。
按一下驗證索引標籤。
向下捲動至驗證方法區段。
在方法欄位中,選取 Kerberos。
在對應屬性名稱欄位中,指定 cn。
附註:如需 RBPM 組態公用程式的詳細資訊,請參閱節 15.8, 完成 Identity Applications 的設定。
(選擇性) 如果您已將報告元件安裝在單獨的伺服器上,請對 Identity Reporting 重複這些步驟。
設定最終使用者用於存取 Identity Applications 的瀏覽器。如需詳細資訊,請參閱節 27.3, 將最終使用者瀏覽器設定為使用整合式 Windows 驗證。