TDVで使用するためのKerberosの構成
TDV ServerとStudioをインストールする前に、KDC Kerberosv5サーバーが環境にインストールされて実行されている必要があります。次に、TDVで使用するKerberosシステムを構成し、KerberosとTDVが相互に識別するセキュリティコンテキストを確立します。
サービスキータブの作成
ドメイン管理者は、次の手順に従ってKeyTabファイルを作成する必要があります。
1. 次のktpassコマンドラインユーティリティを実行します。
ktpass -princ <servicename>/<hostname>.<domain>@<REALM> -mapuser <username>
-pass <password> -crypto All -pType
[KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST]
-out <name>.keytab
注:正確なktpassユーティリティの構文は、設定した環境によって異なります。以下は、QA環境用のkeytabファイルを作成するためのサンプルのktpassコマンドラインです。
ktpass -princ HTTP/krb5-win.sample.net@sample.NET -mapuser qa1 -pass tiger -crypto All -pType KRB5_NT_PRINCIPAL -out krb5cis.keytab
キータブファイルには、KerberosプリンシパルとKerberosパスワードから派生した暗号化キーのペアが含まれています。 keytabファイルは、自動化されたサービスプロセスをこの安全な環境で実行できるように、Kerberosに対するTDVを識別するために使用されます。
2. KeyTabファイルをサーバーにアクセス可能なローカルディレクトリにコピーします。
3. 各KerberosクライアントにKerberos構成ファイルがあることを確認してください。
すべてのクライアント(エンドユーザーコンピューター、データソース、およびTIBCOデータ仮想化サーバー)には、Kerberosキー配布センター(KDC)への認証用のレルムとドメインを定義するためのKerberos構成ファイルが必要です。
Kerberos構成ファイルのデフォルトの場所を表に示します。
オペレーティング・システム |
デフォルトの場所とファイル名 |
Windows |
krb5.iniファイルの場所は、Windowsのバージョンによって異なります。例:C:\Winnt\krb5.ini、C:\Windows\krb5.iniなどのようになります。 |
Linux |
/etc/krb5.conf |
UNIXベース |
/etc/krb5/krb5.conf |
Kerberos構成ファイルには、次のような定義が含まれています。ここで、default_realm、kdc、default domain、およびdomain_realmには実装値があります。
[libdefaults]
default_realm = SUPPORT.NET
[realms]
SUPPORT.NET = {
kdc = qaad.support.net
default_domain = SUPPORT.NET
}
[domain_realm]
.support.net = SUPPORT.NET
UNIXベース
/etc/krb5/krb5.conf
Linuxの構成ファイルのサンプル(krb5.conf)を以下に示します。
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
default_realm = SUPPORT.NET
4. (オプション)Active Directoryを使用している場合、サーバーユーザーアカウントはレルムの委任プロパティを有効にする必要があります。クライアントからのKerberosトークンを使用してKerberos対応のデータソースにアクセスする場合、レルムの値はSUPPORT.NET\qa1のようになります。
ユーザーKeyTabの作成
次の手順に従って、クライアントにKeyTabファイルを作成します。これらの手順は、ユーザーKeyTabを必要とするデータソースに必要です。
1. TDV ServerとStudioをインストールします。
2. ディレクトリをJDKbinパスに変更します
3. 次のコマンドを入力します。
ktab -a <username>
注:<username>は、マシンにログインしているのと同じユーザーであり、ドメインアカウントである必要があります。
4. ユーザーアカウントのパスワードを入力します。
5. 次のコマンドを入力して、プリンシパルを取得します。
ktab -l -e -t
6. 次のコマンドを入力して、Kerberosチケット付与チケット(TGT)を取得してキャッシュします。
kinit <username@REALM> and give your password.
7. TGTチケットを取得するには、「klist」コマンドを実行します。
注:Kerberos構成ファイルのデフォルトのキャッシュ設定としてファイルキャッシュが使用されている場合、klistコマンドは次のようなチケットキャッシュを返します。
FILE:/tmp/krb5cc_uid number
8. TDV Serverを再起動します。
9. Studioを開き、Kerberosをサポートするデータソースに接続します。上記の手順で使用した認証を使用します。
注:接続できない場合は、binディレクトリ(TDV_InstallDir\bin\jdk)で「klist」コマンドを実行して、有効なチケットキャッシュがあるかどうかを確認してください。有効期限が切れている場合は、上記の手順7で「kinit」コマンドを実行して新しいチケットキャッシュを取得し、接続を再試行してください。