%s1：保守情報

Interstage シングル・サインオンの統合Windows認証アプリケーションを運用するために必要な環境設定に誤りがあります。
以下の原因が考えられます。

• Active DirectoryとInterstage シングル・サインオンの認証サーバ間の通信に失敗しました。

• Active Directoryが運用されているマシンのシステム時間とInterstage シングル・サインオンの認証サーバが構築されているマシンのシステム時間が一致していない可能性があります。

• 統合Windows認証アプリケーションの配備時に使用したssodeploygfコマンドの引数“kdc”に指定した値に誤りがあります。

• Active Directory、またはクライアントのオペレーティングシステムで使用できない暗号方式を、使用している可能性があります。

• Active Directoryに登録した認証サーバのアカウントが無効になっています。

• Active Directoryへの認証サーバの登録に失敗しています。

• キータブファイルの作成に失敗しています。

• 統合Windows認証で使用する暗号方式が正しく設定されていない可能性があります。

• 連携するActive Directoryのドメインに認証サーバが登録されています。

以下の対処を行ってください。

• Active Directoryが運用されているマシンが起動しているか確認してください。停止している場合は必要に応じて起動してください。
  起動している場合は、Active Directoryが運用されているマシンとInterstage シングル・サインオンの認証サーバ間で通信が可能かどうか、ネットワーク環境を見直してください。
  また、Active Directoryが運用されているマシンで、認証基盤のURLのFQDNを正しく名前解決できているか確認してください。

• Active Directoryが運用されているマシンのシステム時間とInterstage シングル・サインオンの認証サーバが構築されているマシンのシステム時間が一致しているか確認してください。一致していない場合はシステム時間を一致させてください。

• 統合Windows認証アプリケーションを配備したGlassFish ServerクラスターのJVMオプションに設定されている“java.security.krb5.kdc”オプションの値が、Active Directoryが運用されているマシンのホスト名と一致しているか確認してください。JVMオプションは、list-jvm-optionsサブコマンドを指定してasadminコマンドを実行することで確認できます。(注1)
  “java.security.krb5.kdc”オプションの値が一致していない場合は、以下の手順で“java.security.krb5.kdc”オプションに正しいホスト名を入力してください。(注1)その後、統合Windows認証アプリケーションを停止し、再度起動してください。(注2)

  1. delete-jvm-optionsサブコマンドを指定してasadminコマンドを実行し、“java.security.krb5.kdc”オプションを削除してください。

  2. create-jvm-optionsサブコマンドを指定してasadminコマンドを実行し、正しい値を入力した“java.security.krb5.kdc”オプションを追加してください。

• Active Directory、またはクライアントのオペレーティングシステムで使用できない暗号方式を、使用していないか確認してください。(注3)
  使用できない暗号方式を、使用している場合、以下のいずれかの対処を行ってください。

  • クライアントのオペレーティングシステムで使用できない暗号方式を、使用している場合
    使用している暗号方式を使用可能なオペレーティングシステムからアクセスするように運用指導を行ってください。

  • Active Directoryのオペレーティングシステムで使用できない暗号方式を、使用している場合
    使用している暗号方式を使用可能なオペレーティングシステムのActive Directoryを使用するようにシステム構成を変更してください。システム構成の変更を行った場合、Active Directoryに登録した認証サーバのアカウントの削除、統合Windows認証アプリケーションの配備解除、および統合Windows認証アプリケーションを配備していたGlassFish Serverクラスターの削除を行い、再度Active Directoryの設定、および統合Windows認証アプリケーションの配備を行ってください。(注4)

  • 上記のいずれも実施できない場合
    統合Windows認証で使用する暗号方式を全てのオペレーティングシステムで動作する暗号方式に変更してください。統合Windows認証で使用する暗号方式を変更するには、Active Directoryに登録した認証サーバのアカウントの削除、統合Windows認証アプリケーションの配備解除、および統合Windows認証アプリケーションを配備していたGlassFish Serverクラスターの削除を行い、再度Active Directoryの設定、および統合Windows認証アプリケーションの配備を行ってください。(注4)

• Active Directoryに登録した認証サーバのアカウントが無効になっていないか確認してください。アカウントの状態に応じて、以下の対処を行ってください。

  • アカウントの有効期限が切れている場合
    アカウントの有効期限を延長するか、有効期限をなし(無期限)にしてください。(注5)

  • パスワードの期限が切れている場合
    パスワードの変更を行うか、パスワードを無期限にしてください。(注5)
    パスワードの変更を行った場合は、以下の手順で統合Windows認証アプリケーションの再配備を行ってください。(注4)

    1. キータブファイルを再作成する。

    2. 統合Windows認証アプリケーションの配備解除を行う。

    3. 統合Windows認証アプリケーションを配備したGlassFish Serverクラスターを削除する。

    4. 統合Windows認証アプリケーションの配備を行う。

• Active Directoryに登録した認証サーバのアカウントの削除、統合Windows認証アプリケーションの配備解除、および統合Windows認証アプリケーションを配備していたGlassFish Serverクラスターの削除を行い、再度Active Directoryの設定、および統合Windows認証アプリケーションの配備を行ってください。(注4)

• 連携するActive Directoryのドメインに認証サーバが登録されている場合、ネットワークに関する設定を行ってください。その後、全サーバの環境を再構築してください。ネットワークに関する設定の詳細については、“使用上の注意”の“注意事項”－“Interstage シングル・サインオンの注意事項”－“統合Windows認証に関する注意事項”を参照してください。

注1)asadminコマンドの詳細については、“GlassFish 設計・構築・運用ガイド”の“GlassFishの運用コマンド”を参照してください。

注2)統合Windows認証アプリケーションの停止については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの停止”－“認証サーバの停止”を参照してください。統合Windows認証アプリケーションの起動については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの起動”－“認証サーバの起動”を参照してください。

注3)各暗号方式で使用できないオペレーティングシステムについては、“シングル・サインオン運用ガイド”の“概要”－“認証”－“統合Windows認証”を参照してください。

注4)Active Directoryの設定(キータブファイルの作成を含む)、および統合Windows認証アプリケーションの配備については、“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”を参照してください。

注5)アカウントの有効期限、およびパスワードの期限を変更する場合は、運用、およびセキュリティを十分考慮し、問題がないことを確認してください。