以下の手順に従って行ってください。
Active Directoryの設定
Active Directoryが運用されているマシンにて以下を実施してください。
Windows Server(R) 2016のActive Directoryを例に説明します。
(1)Active Directoryへの認証サーバの登録
[Windows 管理ツール]から[Active Directory ユーザーとコンピュータ]を起動します。
ドメイン名を選択し、[操作]-[新規作成]-[ユーザー]を選択します。
[コンピュータ]を選択しないでください。
姓、およびユーザー ログオン名に認証サーバのホスト名を入力します。
ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。
以下の例は、“authserver”を設定しています。
[次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。
“ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
ここで設定したパスワードは後で必要となるので、忘れないでください。
[次へ]をクリックし、[完了]ボタンをクリックします。
認証サーバのアカウントの作成が完了しました。
作成したユーザーを右クリックし、[プロパティ]を選択します。
[アカウント]タブを選択し、[アカウントオプション]の中から、使用する暗号方式に合わせて以下の項目をチェックします(注1)。
統合Windows認証で使用する暗号方式 | [アカウントオプション]の項目名 |
AES128-CTS-HMAC-SHA1-96 | このアカウントで Kerberos AES 128ビット暗号化をサポートする |
RC4-HMAC | なし(チェック不要) |
注1)統合Windows認証で使用する暗号方式の詳細については、“統合Windows認証で使用する暗号方式”を参照してください。
統合Windows認証で使用する暗号方式に“AES128-CTS-HMAC-SHA1-96”を使用する場合
注意
[アカウントオプション]に複数の項目を同時にチェックしないでください。また、RC4-HMACを使用する場合は、不要な項目にチェックが付いていないことを確認してください。
[OK]ボタンをクリックします。
注意
認証サーバのアカウントが無効になった場合、統合Windows認証が行えなくなります。作成したアカウントの有効期限、およびパスワードの期限を確認してください。
運用、およびセキュリティを十分考慮したうえで有効な期間が不足している場合は、期限の変更、または無期限に変更を行ってください。
(2)認証サーバへのサービスプリンシパル名の割り当て
ktpass.exeを実行し、サービスプリンシパル名を認証サーバに割り当てます。(注1)
コマンドプロンプトにて、ktpass.exeを実行します。各オプションには、以下を指定してください。
-princ :認証基盤のURLのFQDN、およびActive DirectoryのKerberosドメイン領域
-pass :手順(1)で作成したアカウントに設定したパスワード
-mapuser:手順(1)で作成したアカウント名
-ptype :principalタイプ
-crypto :暗号方式
-out :作成するキータブファイルへの絶対パス
なお、-princは、“host/認証基盤のURLのFQDN@Active DirectoryのKerberosドメイン領域”の形式で指定してください。
また、principalタイプには“KRB5_NT_PRINCIPAL”、暗号方式には以下を指定してください。
統合Windows認証で使用する暗号方式(注2)(注3) | ktpass.exeに指定する暗号方式 |
AES128-CTS-HMAC-SHA1-96 | AES128-SHA1 |
RC4-HMAC | RC4-HMAC-NT |
注1)ktpass.exeが存在しない場合は、Windowsのインストール媒体に格納されている、Windows サポート ツールをインストールしてください。なお、オペレーティングシステムにService Packを適用している場合は、Service Packに応じたWindows サポート ツールをMicrosoft(R)のWebサイトよりダウンロードし、インストールしてください。
注2)統合Windows認証で使用する暗号方式については、“統合Windows認証で使用する暗号方式”を参照してください。
注3)統合Windows認証で使用する暗号方式は、手順(1)と合わせてください。
認証基盤のURLのFQDN :authserver.fujitsu.com
Active DirectoryのKerberosドメイン領域:AD.LOCAL
アカウントに設定したパスワード :authpass#1
アカウント名 :authserver
principalタイプ :KRB5_NT_PRINCIPAL
暗号方式 :AES128-SHA1
キータブファイルへの絶対パス :C:\Temp\sso-winauth.keytab
C:\>ktpass -princ host/authserver.fujitsu.com@AD.LOCAL -pass authpass#1 -mapuser authserver -ptype KRB5_NT_PRINCIPAL -crypto AES128-SHA1 -out C:\Temp\sso-winauth.keytab Targeting domain controller: ADserver.ad.local Using legacy password setting method Successfully mapped host/authserver.fujitsu.com to authserver. Key created. Output keytab to C:\Temp\sso-winauth.keytab: Keytab version: 0x502 keysize 71 host/authserver.fujitsu.com@AD.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x11 (AES128-SHA1) keylength 16 (0x3f7389fdd2a7d2f7965db2ab2f948265) |
(3)キータブファイルの転送
手順(2)で作成されたキータブファイルを、認証サーバを運用するマシンへ転送してください。転送終了後、Active Directoryが運用されているマシンから、キータブファイルを削除してください。
統合Windows認証アプリケーションの配備
認証サーバを運用するマシンにおいて、統合Windows認証アプリケーションをサーブレットアプリケーションとしてサーブレットコンテナへ配備します。配備は、ssodeployコマンドにwinauthサブコマンドを指定して行います。
配備が終わりましたら、転送したキータブファイルを削除してください。
なお、すでに認証サーバの負荷分散を行っているシステムで統合Windows認証を行う場合は、負荷分散しているすべての認証サーバにて、統合Windows認証アプリケーションを配備してください。
ssodeployコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
ssodeployコマンド実行後、出力メッセージを確認し、以下の出力内容に誤りがある場合は対処を行ってください。
出力内容 | 対処 |
FQDN of SSO Authentication server | Active Directoryに登録した認証サーバのアカウントを削除し、再度Active Directoryの設定からやり直してください。 |
Kerberos domain area | |
Host name of Active Directory | ssodeployコマンドの引数“kdc”に指定したActive Directoryが運用されているマシン名が間違っています。正しいマシン名を指定してください。 |
Active Directoryが運用されているマシン名:ADserver.fujitsu.com
キータブファイルの絶対パス名 :C:\Temp\sso-winauth.keytab
新規作成するIJServerの名前 :SSO_WINDOWS_AUTH
ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。
C:\>ssodeploy winauth ADserver.fujitsu.com C:\Temp\sso-winauth.keytab |
Active Directoryが運用されているマシン名:ADserver.fujitsu.com
キータブファイルの絶対パス名 :/tmp/authserver.keytab
新規作成するIJServerの名前 :SSO_WINDOWS_AUTH
ssodeployコマンドを実行する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
ssodeployコマンドを実行すると、統合Windows認証アプリケーションを配備するかどうかの確認メッセージが表示されますので“yes”を入力してください。
#JAVA_HOME=[JDK/JREのインストールパス];export JAVA_HOME |
ワークユニットの起動ユーザの変更
統合Windows認証アプリケーションを配備すると、ワークユニットの起動ユーザ名にrootユーザが設定されます。認証サーバが使用しているWebサーバの実効ユーザ、または実効グループの権限に合わせ、ワークユニットの起動ユーザ名を変更してください。
ワークユニットの起動ユーザについては、“ワークユニットの起動ユーザ ”を参照してください。
Webブラウザの設定
Webブラウザの設定を行います。
Windows(R) Internet Explorer(R)で以下の設定を行います。
[ツール]-[インターネットオプション]-[詳細設定]タブを選択し、“統合Windows認証を使用する”をチェックします。
[セキュリティ]タブを選択し、 [ローカル イントラネット]ゾーンを選択します。
[サイト]ボタンをクリックします。
以下の画面が表示された場合は、[詳細設定]ボタンをクリックします。
表示されなかった場合は、次の手順を実施します。
Webサイトに認証基盤のURLを追加します。
以下の例は、Webサイトにhttps://authserver.fujitsu.comを追加しています。
追加終了後、[閉じる]ボタンをクリックします。
手順3の画面が表示された場合は、[OK]ボタンをクリックし、手順2の画面に戻ります。
表示されなかった場合は、次の手順を実施します。
[レベルのカスタマイズ]ボタンをクリックし、[ユーザー認証]の[ログオン]で“イントラネットゾーンでのみ自動的にログオンする”をチェックします。
[OK]ボタンをクリックします。
