Interstage Application Server シングル・サインオン運用ガイド
目次 索引 前ページ次ページ

付録F Active Directoryと連携するための設定> F.1 ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する

F.1.6 統合Windows認証を行うための設定

 以下の手順に従って行ってください。

  1. Active Directoryの設定
  2. 統合Windows認証アプリケーションの配備
  3. ワークユニットの起動ユーザの変更
  4. Webブラウザの設定

Active Directoryの設定

 Active Directoryが運用されているマシンにて以下を実施してください。

(1)Active Directoryへの認証サーバの登録

  1. [スタート]メニューで[プログラム]−[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。

  2. ドメイン名を選択し、[操作]−[新規作成]−[ユーザー]を選択します。
    [コンピュータ]を選択しないでください。

  3. 姓、およびユーザー ログオン名に認証サーバのホスト名を入力します。
    ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。
    以下の例は、“authserver”を設定しています。

  4. [次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。
    “ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
    ここで設定したパスワードは後で必要となるので、忘れないでください。

  5. [次へ]をクリックし、[完了]ボタンをクリックします。
    認証サーバのアカウントの作成が完了しました。
     
  6. 作成したユーザーを右クリックし、[プロパティ]を選択します。

  7. [アカウント]タブを選択し、[アカウントオプション]の“このアカウントにDES暗号化を使う”をチェックします。

  8. [OK]ボタンをクリックします。

(2)認証サーバへのサービスプリンシパル名の割り当て

 ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。ktpass.exeは、WindowsのインストールCDに格納されています。
 コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。

-princ  :認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域
-pass   :手順(1)で作成したアカウントに設定したパスワード
-mapuser:手順(1)で作成したアカウント名
-ptype  :principalタイプ
-crypto  :暗号方式
-out   :作成するキータブファイルへの絶対パス

 なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。
 また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には“DES-CBC-CRC”を必ず指定してください。


 Microsoft(R) Windows Server(R) 2003 にて実行した例を示します。
 認証基盤のURLのFQDN             :authserver.fujitsu.com
 Active DirectoryのKerberosドメイン領域:AD.LOCAL
 アカウントに設定したパスワード      :authpass01
 アカウント名                 :authserver
 principalタイプ                :KRB5_NT_PRINCIPAL
 暗号方式                   :DES-CBC-CRC
 キータブファイルへの絶対パス      :C:\Temp\sso-winauth.keytab

C:\>ktpass -princ host/authserver.fujitsu.com@AD.LOCAL -pass authpass01 -mapuser authserver -ptype KRB5_NT_PRINCIPAL -crypto DES-CBC-CRC -out C:\Temp\sso-winauth.keytab
Targeting domain controller: ADserver.ad.local
Using legacy password setting method
Successfully mapped host/authserver.fujitsu.com to authserver.
Key created.
Output keytab to C:\Temp\sso-winauth.keytab:
Keytab version: 0x502
keysize 78 host/authserver.fujitsu.com@AD.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x1 (DES-CBC-CRC) keylength 8 (0x081fd34f51b60bdf)

(3)キータブファイルの転送

 手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用されているマシンから、キータブファイルを削除してください。

統合Windows認証アプリケーションの配備

 認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。
 配備が終わりましたら、転送したキータブファイルを削除してください。

 なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サーバにて、統合Windows認証アプリケーションを配備してください。

 ssodeployコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。


 ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。

出力内容

対処

FQDN of SSO Authentication server

Active Directoryに登録した認証サーバのアカウントを削除し、再度Active Directoryの設定からやり直してください。

Kerberos domain area

Host name of Active Directory

ssodeployコマンドの引数“kdc”に指定したActiveDirectoryが運用されているマシン名が間違っています。正しいマシン名を指定してください。


 Active Directoryが運用されているマシン名:ADserver.fujitsu.com
 キータブファイルの絶対パス名        :C:\Temp\sso-winauth.keytab
 新規作成するIJServerの名前         :SSO_WINDOWS_AUTH

 ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

C:\>ssodeploy winauth ADserver.fujitsu.com C:\Temp\sso-winauth.keytab
[Deployment information]
 FQDN of SSO Authentication server : authserver.fujitsu.com
 Host name of Active Directory    : ADserver.fujitsu.com
 Kerberos domain area          : AD.LOCAL
 IJServer name              : SSO_WINDOWS_AUTH
 Application name             : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\ijserver.xml"
isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth"
DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssoatcag\webapps\winauth


 Active Directoryが運用されているマシン名:ADserver.fujitsu.com
 キータブファイルの絶対パス名        :/tmp/authserver.keytab
 新規作成するIJServerの名前         :SSO_WINDOWS_AUTH

 ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
 ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
#/opt/FJSVssoac/bin/ssodeploy winauth ADserver.fujitsu.com /tmp/authserver.keytab
[Deployment information]
 FQDN of SSO Authentication server : authserver.fujitsu.com
 Host name of Active Directory    : ADserver.fujitsu.com
 Kerberos domain area          : AD.LOCAL
 IJServer name              : SSO_WINDOWS_AUTH
 Application name             : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssoac/webapps/winauth/WEB-INF/ijserver.xml
UX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d /etc/opt/FJSVssoac/webapps/winauth
UX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssoac/webapps/winauth

ワークユニットの起動ユーザの変更

 統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。認証サーバが使用しているWebサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。

 ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ”を参照してください。

Webブラウザの設定

 Webブラウザの設定を行います。
 以下に、Microsoft(R) Internet Explorer 6.0を例に説明します。

  1. [ツール]−[インターネットオプション]−[詳細設定]タブを選択し、“統合Windows認証を使用する(再起動が必要)”をチェックします。

  2. [セキュリティ]タブを選択し、セキュリティレベルの設定で[イントラネット]を選択します。
    [サイト]ボタンをクリックします。

  3. 以下の画面が表示された場合は、[詳細設定]ボタンをクリックします。
    表示されなかった場合は、次の手順を実施します。

  4. Webサイトに認証基盤のURLを追加します。
    以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。
    追加終了後、[OK]ボタンをクリックします。

  5. 手順3の画面が表示された場合は、[OK]ボタンをクリックし、手順2の画面に戻ります。
    表示されなかった場合は、次の手順を実施します。
     
  6. [レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”をチェックします。

  7. [OK]ボタンをクリックします。

目次 索引 前ページ次ページ

Copyright 2008 FUJITSU LIMITED