ページの先頭行へ戻る
Interstage Application Server シングル・サインオン運用ガイド
Interstage
付録F Active Directoryと連携するための設定 > F.1 ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する > F.1.6 統合Windows認証を行うための設定
前次

F.1.6 統合Windows認証を行うための設定

  以下の手順に従って行ってください。

  1. Active Directoryの設定

  2. 統合Windows認証アプリケーションの配備

  3. ワークユニットの起動ユーザの変更

  4. Webブラウザの設定

Active Directoryの設定

  Active Directoryが運用されているマシンにて以下を実施してください。

(1)Active Directoryへの認証サーバの登録

  1. [スタート]メニューで[プログラム]-[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。

  2. ドメイン名を選択し、[操作]-[新規作成]-[ユーザー]を選択します。
    [コンピュータ]を選択しないでください。

  3. 姓、およびユーザー ログオン名に認証サーバのホスト名を入力します。
    ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。
    以下の例は、“authserver”を設定しています。

  4. [次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。
    “ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
    ここで設定したパスワードは後で必要となるので、忘れないでください。

  5. [次へ]をクリックし、[完了]ボタンをクリックします。
    認証サーバのアカウントの作成が完了しました。
      

  6. 作成したユーザーを右クリックし、[プロパティ]を選択します。

  7. [アカウント]タブを選択し、[アカウントオプション]の中から、使用する暗号方式に合わせて以下の項目をチェックします。

    統合Windows認証で使用する暗号方式(注1)

    [アカウントオプション]の項目名

    AES128-CTS-HMAC-SHA1-96

    このアカウントで Kerberos AES 128ビット暗号をサポートする(注2)

    RC4-HMAC

    なし(チェック不要)

    DES-CBC-CRC

    Windows Server(R) 2003の場合

    このアカウントにDES暗号化を使う

    Windows Server(R) 2008の場合

    このアカウントにKerberos DES暗号を使う(注3)

      1)統合Windows認証で使用する暗号方式の詳細については、“シングル・サインオン運用ガイド”の“概要”-“認証”-“統合Windows認証”を参照してください。
      2)Windows Server(R) 2008のActive Directoryでのみ選択可能な項目です。
      3)Windows Server(R) 2008 R2では、DES-CBC-CRCで統合Windows認証が行えないため、選択しないでください。


    Windows Server(R) 2003の画面

    統合Windows認証で使用する暗号方式に“DES-CBC-CRC”を使用する場合


    Windows Server(R) 2008の画面

    統合Windows認証で使用する暗号方式に“AES128-CTS-HMAC-SHA1-96”を使用する場合


    • [アカウントオプション]に複数の項目を同時にチェックしないでください。また、RC4-HMACを使用する場合は、不要な項目にチェックが付いていないことを確認してください。

  8. [OK]ボタンをクリックします。

(2)認証サーバへのサービスプリンシパル名の割り当て

  ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。(注1)
  コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。

-princ    :認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域
-pass     :手順(1)で作成したアカウントに設定したパスワード
-mapuser:手順(1)で作成したアカウント名
-ptype    :principalタイプ
-crypto   :暗号方式
-out      :作成するキータブファイルへの絶対パス

  なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。
  また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には以下を指定してください。

統合Windows認証で使用する暗号方式(注2)(注3)

ktpass.exeに指定する暗号方式

AES128-CTS-HMAC-SHA1-96

AES128-SHA1

RC4-HMAC

RC4-HMAC-NT(注4)

DES-CBC-CRC

DES-CBC-CRC

  1)ktpass.exeが存在しない場合は、Windowsのインストール媒体に格納されている、Windows サポート ツールをインストールしてください。なお、オペレーティングシステムにService Packを適用している場合は、Service Packに応じたWindows サポート ツールをMicrosoft(R)のWebサイトよりダウンロードし、インストールしてください。
  2)統合Windows認証で使用する暗号方式については、“シングル・サインオン運用ガイド”の“概要”-“認証”-“統合Windows認証”を参照してください。
  3)統合Windows認証で使用する暗号方式は、手順(1)と合わせてください。
  注4)Microsoft(R) Windows Server(R) 2003(R2は除く)の場合、Service Pack 1以降のサポート ツールをインストールする必要があります。


  Windows Server(R) 2003 R2にて実行した例を示します。
  認証基盤のURLのFQDN                         :authserver.fujitsu.com
  Active DirectoryのKerberosドメイン領域:AD.LOCAL
  アカウントに設定したパスワード           :authpass01
  アカウント名                                  :authserver
  principalタイプ                                :KRB5_NT_PRINCIPAL
  暗号方式                                      :RC4-HMAC
  キータブファイルへの絶対パス            :C:\Temp\sso-winauth.keytab

C:\>ktpass -princ host/authserver.fujitsu.com@AD.LOCAL -pass authpass01 -mapuser authserver -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out C:\Temp\sso-winauth.keytab
Targeting domain controller: ADserver.ad.local
Using legacy password setting method
Successfully mapped host/authserver.fujitsu.com to authserver.
Key created.
Output keytab to C:\Temp\sso-winauth.keytab:
Keytab version: 0x502
keysize 94 host/authserver.fujitsu.com@AD.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x17 (RC4-HMAC) keylength 16 (0x0fd4babdb68dfe59421fb690b0485bbf)

(3)キータブファイルの転送

  手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用されているマシンから、キータブファイルを削除してください。

統合Windows認証アプリケーションの配備

  認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。
  配備が終わりましたら、転送したキータブファイルを削除してください。

  なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サーバにて、統合Windows認証アプリケーションを配備してください。

  ssodeployコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。


  ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。

出力内容

対処

FQDN of SSO Authentication server

Active Directoryに登録した認証サーバのアカウントを削除し、再度Active Directoryの設定からやり直してください。

Kerberos domain area

Host name of Active Directory

ssodeployコマンドの引数“kdc”に指定したActive Directoryが運用されているマシン名が間違っています。正しいマシン名を指定してください。


  Active Directoryが運用されているマシン名:ADserver.fujitsu.com
  キータブファイルの絶対パス名                :C:\Temp\sso-winauth.keytab
  新規作成するIJServerの名前                 :SSO_WINDOWS_AUTH

  ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

C:\>ssodeploy winauth ADserver.fujitsu.com C:\Temp\sso-winauth.keytab
[Deployment information]
  FQDN of SSO Authentication server : authserver.fujitsu.com
  Host name of Active Directory        : ADserver.fujitsu.com
  Kerberos domain area                   : AD.LOCAL
  IJServer name                            : SSO_WINDOWS_AUTH
  Application name                         : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\ijserver.xml"
isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth"
DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssoatcag\webapps\winauth


  Active Directoryが運用されているマシン名:ADserver.fujitsu.com
  キータブファイルの絶対パス名                :/tmp/authserver.keytab
  新規作成するIJServerの名前                 :SSO_WINDOWS_AUTH

  ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
  ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
#/opt/FJSVssoac/bin/ssodeploy winauth ADserver.fujitsu.com /tmp/authserver.keytab
[Deployment information]
  FQDN of SSO Authentication server : authserver.fujitsu.com
  Host name of Active Directory        : ADserver.fujitsu.com
  Kerberos domain area                   : AD.LOCAL
  IJServer name                            : SSO_WINDOWS_AUTH
  Application name                         : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssoac/webapps/winauth/WEB-INF/ijserver.xml
UX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d /etc/opt/FJSVssoac/webapps/winauth
UX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssoac/webapps/winauth

ワークユニットの起動ユーザの変更

  統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。認証サーバが使用しているWebサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。

  ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ ”を参照してください。

Webブラウザの設定

  Webブラウザの設定を行います。
  以下に、Microsoft(R) Internet Explorer 6.0を例に説明します。

  1. [ツール]-[インターネットオプション]-[詳細設定]タブを選択し、“統合Windows認証を使用する(再起動が必要)”をチェックします。

  2. [セキュリティ]タブを選択し、セキュリティレベルの設定で[イントラネット]を選択します。
    [サイト]ボタンをクリックします。

  3. 以下の画面が表示された場合は、[詳細設定]ボタンをクリックします。
    表示されなかった場合は、次の手順を実施します。

  4. Webサイトに認証基盤のURLを追加します。
    以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。
    追加終了後、[OK]ボタンをクリックします。

  5. 手順3の画面が表示された場合は、[OK]ボタンをクリックし、手順2の画面に戻ります。
    表示されなかった場合は、次の手順を実施します。
      

  6. [レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”をチェックします。

  7. [OK]ボタンをクリックします。

前次
Copyright 2011-2012 FUJITSU LIMITED