27.2 設定 Identity Applications 伺服器

您必須對 Identity Applications 伺服器進行設定,讓其使用您在 Active Directory 中建立的 Kerberos keytab 檔案和使用者帳戶。在繼續下一步之前,請務必完成節 27.1, 在 Active Directory 中設定 Kerberos 使用者帳戶 中的操作。

附註:對於網域或領域參考,請使用大寫格式。例如 @MYCOMPANY.COM

  1. 若要定義 Kerberos 組態的作業系統設定,請完成以下步驟︰

    1. 在代管 Identity Applications 的伺服器上的文字編輯器中,開啟 C:\Windows\krb5.ini 中的 krb5 檔案。

    2. 將以下資訊新增至 krb5 檔案︰

      [libdefaults]
    default_realm = WINDOWS-DOMAIN
    kdc_timesync = 0
    forwardable = true
    proxiable = false
[realms]
    WINDOWS-DOMAIN = {
         kdc = FQDN Active Directory Server
         admin_server = FQDN Active  Directory Server
    }
[domain_realm]
    .your.domain = WINDOWS-DOMAIN
    your.domain = WINDOWS-DOMAIN

      例如:

      [libdefaults]
    default_realm = MYCOMPANY.COM
    kdc_timesync = 0
    forwardable = true
    proxiable = false
[realms]
    MYCOMPANY.COM = {
         kdc = myadserver.mycompany.com
         admin_server = myadserver.mycompany.com
    }
[domain_realm]
    .mycompany.com = MYCOMPANY.COM
    mycompany.com = MYCOMPANY.COM

    3. 儲存變更並關閉 krb5 檔案。

  2. (視情況而定) 若要定義 Tomcat 的 Kerberos 組態資訊,請完成以下步驟︰

    1. 在 Tomcat 應用程式伺服器上,建立包含以下內容的範例 Kerberos_login.config 檔案︰

      附註:novlua 使用者需要相應的許可權才能建立 Kerberos_login.config 檔案。

      com.sun.security.jgss.krb5.accept {
		    com.sun.security.auth.module.Krb5LoginModule required
    debug="true"
		    refreshKrb5Config="true"
    useTicketCache="true"       ticketCache="c:\NetIQ\idm\apps\tomcat\kerberos\spnegoTicket.cache"
    doNotPrompt="true"
        principal="HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN
"
    useKeyTab="true"
        keyTab="/absolute_path/filename.keytab"
    storeKey="true";
    };

      Windows 伺服器上的範例如下所示︰

      keyTab="c:\\NetIQ\\idm\\apps\\tomcat\kerberos\\rbpm.keytab"

    2. 在該檔案中為 principalkeyTab 指定值。例如:

      principal="HTTP/rbpm.mycompany.com@MYCOMPANY.COM"
keyTab="/home/usr/rbpm.keytab"

      • principal 的值必須與您為 Kerberos 指定的值相符。如需詳細資訊,請參閱步驟 3

      • 提供 Identity Applications 伺服器上 keytab 檔案的絕對路徑。該檔案不一定位於 Identity Applications 的預設目錄中。

    3. 使用以下指令行在 JVM java.security 檔案中參考 Kerberos_login.config 檔案: 

      login.config.url.1=file:c:\NetIQ\idm\apps\tomcat\kerberos\Kerberos_login.config

  3. 若要在 RBPM 組態公用程式中指定驗證方法,請完成以下步驟︰

    1. 開啟 Configupdate 公用程式。

    2. 按一下驗證索引標籤。

    3. 向下捲動至驗證方法區段。

    4. 方法欄位中,選取 Kerberos

    5. 對應屬性名稱欄位中,指定 cn

    附註:如需 RBPM 組態公用程式的詳細資訊,請參閱節 15.8, 完成 Identity Applications 的設定

  4. (選擇性) 如果您已將報告元件安裝在單獨的伺服器上,請對 Identity Reporting 重複這些步驟。

  5. 設定最終使用者用於存取 Identity Applications 的瀏覽器。如需詳細資訊,請參閱節 27.3, 將最終使用者瀏覽器設定為使用整合式 Windows 驗證