Interstage Application Server シングル・サインオン運用ガイド

目次 索引

付録E Active Directoryと連携するための設定

　ここでは、統合Windows認証を行う際に必要なActive Directoryと連携するための設定について説明します。

　認証サーバを構築後、以下の手順に従って行ってください。

1. SSOリポジトリの設定
2. Active Directoryの設定
3. 統合Windows認証アプリケーションの配備
4. ワークユニットの起動ユーザの変更
5. Webブラウザの設定

　なお、SSOリポジトリの設定でユーザーログオン名を登録した属性名は、認証サーバのInterstage管理コンソールを使用して、[統合Windows認証の設定]の[認証に使用する属性]に指定してください。

SSOリポジトリの設定

　SSOリポジトリで管理しているユーザと、Active Directoryに登録されているユーザーを関連付けます。
　ldapmodifyコマンドなどを使用して、SSOリポジトリで管理しているユーザ情報の任意の属性値に、Active Directoryに登録されているユーザーのエントリ「ユーザーログオン名」の値を登録してください。
　なお、SSOリポジトリで管理しているユーザIDとActive Directoryに登録されているユーザーログオン名を合わせる必要はありません。

　以下は、Active Directoryに登録されているユーザーログオン名“tarou@sso.fujitsu.com”を、SSOリポジトリの属性“description”に登録している例です。

Active Directoryの設定

　Active Directoryが運用されているマシンにて以下を実施してください。

(1)Active Directoryへの認証サーバの登録

1. [スタート]メニューで[プログラム]−[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。

   

2. ドメイン名を選択し、[操作]−[新規作成]−[ユーザー]を選択します。
   [コンピュータ]を選択しないでください。

   

3. 姓、およびユーザーログオン名に認証サーバのホスト名を入力します。
   ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。
   以下の例は、“authserver”を設定しています。

   

4. [次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。
   “ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
   ここで設定したパスワードは後で必要となるので、忘れないでください。

   

5. [次へ]をクリックし、[完了]ボタンをクリックします。
   認証サーバのアカウントの作成が完了しました。
   　
6. 作成したユーザーを右クリックし、[プロパティ]を選択します。

   

7. [アカウント]タブを選択し、[アカウントオプション]の“このアカウントにDES暗号化を使う”をチェックします。

   

8. [OK]ボタンをクリックします。

(2)認証サーバへのサービスプリンシパル名の割り当て

　ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。ktpass.exeは、WindowsのインストールCDに格納されています。
　コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。

-princ　　：認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域
-pass　　 ：手順(1)で作成したアカウントに設定したパスワード
-mapuser：手順(1)で作成したアカウント名
-ptype　　：principalタイプ
-crypto　 ：暗号方式
-out　　　：作成するキータブファイルへの絶対パス

　なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。
　また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には“DES-CBC-CRC”を必ず指定してください。

　Microsoft(R) Windows(R) 2000 Serverにて実行した例を示します。
　認証基盤のURLのFQDN　　　　　　　　　　　　 ：authserver.fujitsu.com
　Active DirectoryのKerberosドメイン領域：SSO.FUJITSU.COM
　アカウントに設定したパスワード　　　　　 ：authpass01
　アカウント名　　　　　　　　　　　　　　　　　：authserver
　principalタイプ　　　　　　　　　　　　　　　　：KRB5_NT_PRINCIPAL
　暗号方式　　　　　　　　　　　　　　　　　　　：DES-CBC-CRC
　キータブファイルへの絶対パス　　　　　　：C:\Temp\sso-winauth.keytab

(3)キータブファイルの転送

　手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用されているマシンから、キータブファイルを削除してください。

統合Windows認証アプリケーションの配備

　認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。
　配備が終わりましたら、転送したキータブファイルを削除してください。

　なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サーバにて、統合Windows認証アプリケーションを配備してください。

　ssodeployコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してください。

　ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。

　Active Directoryが運用されているマシン名：ADserver.fujitsu.com
　キータブファイルの絶対パス名　　　　　　　　：C:\Temp\sso-winauth.keytab
　新規作成するIJServerの名前　　　　　　　　 ：SSO_WINDOWS_AUTH

　ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

　Active Directoryが運用されているマシン名：ADserver.fujitsu.com
　キータブファイルの絶対パス名　　　　　　　　：/tmp/authserver.keytab
　新規作成するIJServerの名前　　　　　　　　 ：SSO_WINDOWS_AUTH

　ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
　ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

ワークユニットの起動ユーザの変更

　統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。Webサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。

　ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ”を参照してください。

Webブラウザの設定

　Webブラウザの設定を行います。
　以下に、Microsoft(R) Windows(R) 2000 Serverを例に説明します。

1. [ツール]−[インターネットオプション]−[詳細設定]タブを選択し、“統合Windows認証を使用する(再起動が必要)”をチェックします。

   

2. [セキュリティ]タブを選択し、セキュリティレベルの設定で[イントラネット]を選択します。
   [サイト]ボタンをクリックします。

   

3. すべての項目をチェックし、[詳細設定]ボタンをクリックします。

   

4. Webサイトに認証基盤のURLを追加します。
   以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。
   追加終了後、[OK]ボタンをクリックします。

   

5. 手順3の画面で[OK]ボタンをクリックし、手順2の画面に戻ります。
   　
6. [レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”をチェックします。

   

7. [OK]ボタンをクリックします。

目次 索引