F.1.6 統合Windows認証を行うための設定

以下の手順に従って行ってください。

Active Directoryの設定

Active Directoryが運用されているマシンにて以下を実施してください。

(1)Active Directoryへの認証サーバの登録

[スタート]メニューで[プログラム]－[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。
ドメイン名を選択し、[操作]－[新規作成]－[ユーザー]を選択します。
[コンピュータ]を選択しないでください。
姓、およびユーザーログオン名に認証サーバのホスト名を入力します。
ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。
以下の例は、“authserver”を設定しています。
[次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。
“ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
ここで設定したパスワードは後で必要となるので、忘れないでください。
[次へ]をクリックし、[完了]ボタンをクリックします。
認証サーバのアカウントの作成が完了しました。
作成したユーザーを右クリックし、[プロパティ]を選択します。
[アカウント]タブを選択し、[アカウントオプション]の“このアカウントにDES暗号化を使う”をチェックします。
[OK]ボタンをクリックします。

(2)認証サーバへのサービスプリンシパル名の割り当て

ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。ktpass.exeは、WindowsのインストールCDに格納されています。
コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。

-princ    ：認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域
-pass     ：手順(1)で作成したアカウントに設定したパスワード
-mapuser：手順(1)で作成したアカウント名
-ptype    ：principalタイプ
-crypto   ：暗号方式
-out      ：作成するキータブファイルへの絶対パス

なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。
また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には“DES-CBC-CRC”を必ず指定してください。

  Microsoft(R) Windows Server(R) 2003 にて実行した例を示します。
  認証基盤のURLのFQDN                         ：authserver.fujitsu.com
  Active DirectoryのKerberosドメイン領域：AD.LOCAL
  アカウントに設定したパスワード           ：authpass01
  アカウント名                                  ：authserver
  principalタイプ                                ：KRB5_NT_PRINCIPAL
  暗号方式                                      ：DES-CBC-CRC
  キータブファイルへの絶対パス            ：C:\Temp\sso-winauth.keytab

C:\>ktpass -princ host/authserver.fujitsu.com@AD.LOCAL -pass authpass01 -mapuser authserver -ptype KRB5_NT_PRINCIPAL -crypto DES-CBC-CRC -out C:\Temp\sso-winauth.keytab
Targeting domain controller: ADserver.ad.local
Using legacy password setting method
Successfully mapped host/authserver.fujitsu.com to authserver.
Key created.
Output keytab to C:\Temp\sso-winauth.keytab:
Keytab version: 0x502
keysize 78 host/authserver.fujitsu.com@AD.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x1 (DES-CBC-CRC) keylength 8 (0x081fd34f51b60bdf)

(3)キータブファイルの転送

手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用されているマシンから、キータブファイルを削除してください。

統合Windows認証アプリケーションの配備

認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。
配備が終わりましたら、転送したキータブファイルを削除してください。

なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サーバにて、統合Windows認証アプリケーションを配備してください。

ssodeployコマンドの詳細については、“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してください。

ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。

出力内容	対処
FQDN of SSO Authentication server	Active Directoryに登録した認証サーバのアカウントを削除し、再度Active Directoryの設定からやり直してください。
Kerberos domain area
Host name of Active Directory	ssodeployコマンドの引数“kdc”に指定したActiveDirectoryが運用されているマシン名が間違っています。正しいマシン名を指定してください。

  Active Directoryが運用されているマシン名：ADserver.fujitsu.com
  キータブファイルの絶対パス名                ：C:\Temp\sso-winauth.keytab
  新規作成するIJServerの名前                 ：SSO_WINDOWS_AUTH

ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

C:\>ssodeploy winauth ADserver.fujitsu.com C:\Temp\sso-winauth.keytab
[Deployment information]
  FQDN of SSO Authentication server : authserver.fujitsu.com
  Host name of Active Directory        : ADserver.fujitsu.com
  Kerberos domain area                   : AD.LOCAL
  IJServer name                            : SSO_WINDOWS_AUTH
  Application name                         : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth\WEB-INF\ijserver.xml"
isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d "C:\Interstage\F3FMsso\ssoatcag\webapps\winauth"
DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=C:\Interstage\F3FMsso\ssoatcag\webapps\winauth

  Active Directoryが運用されているマシン名：ADserver.fujitsu.com
  キータブファイルの絶対パス名                ：/tmp/authserver.keytab
  新規作成するIJServerの名前                 ：SSO_WINDOWS_AUTH

ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。

#JAVA_HOME=/opt/FJSVawjbk/jdk5;export JAVA_HOME
#/opt/FJSVssoac/bin/ssodeploy winauth ADserver.fujitsu.com /tmp/authserver.keytab
[Deployment information]
  FQDN of SSO Authentication server : authserver.fujitsu.com
  Host name of Active Directory        : ADserver.fujitsu.com
  Kerberos domain area                   : AD.LOCAL
  IJServer name                            : SSO_WINDOWS_AUTH
  Application name                         : winauth
Are you sure you want to deploy the Integrated Windows Authentication application? (yes/no) yes

isj2eeadmin ijserver -a -f /etc/opt/FJSVssoac/webapps/winauth/WEB-INF/ijserver.xml
UX:isj2eeadmin: 情報: isj2ee2100:IJServerを登録しました NAME=SSO_WINDOWS_AUTH

ijsdeployment -n SSO_WINDOWS_AUTH -d /etc/opt/FJSVssoac/webapps/winauth
UX:DEPLOY: 情報: DEP5050: 配備処理が完了しました: ファイル名=/etc/opt/FJSVssoac/webapps/winauth

ワークユニットの起動ユーザの変更

統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。認証サーバが使用しているWebサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。

ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ ”を参照してください。

Webブラウザの設定

Webブラウザの設定を行います。
以下に、Microsoft(R) Internet Explorer 6.0を例に説明します。

[ツール]－[インターネットオプション]－[詳細設定]タブを選択し、“統合Windows認証を使用する(再起動が必要)”をチェックします。
[セキュリティ]タブを選択し、セキュリティレベルの設定で[イントラネット]を選択します。
[サイト]ボタンをクリックします。
以下の画面が表示された場合は、[詳細設定]ボタンをクリックします。
表示されなかった場合は、次の手順を実施します。
Webサイトに認証基盤のURLを追加します。
以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。
追加終了後、[OK]ボタンをクリックします。
手順3の画面が表示された場合は、[OK]ボタンをクリックし、手順2の画面に戻ります。
表示されなかった場合は、次の手順を実施します。
[レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”をチェックします。
[OK]ボタンをクリックします。