Studioの構成ウィンドウでは、WindowsドメインをLDAPドメインにマップできます。ドメインマッピングは、認証されたユーザーを適切な外部グループにリンクします。認証はKerberosシステムによって実行されます。 TDVシステム、共有、および公開されたリソースを使用する権限は、ユーザーに直接またはLDAPグループのメンバーシップを通じて割り当てられた特権によって異なります。 LDAPグループに所属しているKerberos認証済みのユーザーには、グループに明示的に関連付けられているユーザー権限と特権のみが暗黙的に付与されます。

デフォルトでは、すべてのグループおよびユーザーの権限と特権は、最も制限の厳しい値に設定されています。 LDAPグループメンバーシップによって暗黙の権利と特権を取得するには、Kerberos認証されたユーザーに対して権利と特権を明示的に設定する必要があります。詳細については、TDVユーザーガイドを参照してください。

次の手順に従って、Kerberos認証で使用するためにTDVManagerにドメインとユーザーグループを追加します。

allowtgtsessionkeyレジストリのREG_DWORD値を1に変更して、TGTにセッションキーを含めます。 Windows 10以降の場合、allowtgtsessionkeyのレジストリの場所は次のとおりです。

Kerberos SSOで使用するように構成する各Studioクライアントtには、<TDV_install_dir>/conf/studioディレクトリにあるkrb5.propertiesファイルのローカルコピーが必要です。 Studioの起動時に、このファイルが存在すると、StudioのログインウィンドウにSSOチェックボックスが表示されます。

注： Studioがこのファイルを検出しない場合、またはSPN値が別のTDVノードに設定されている場合、Studioログインは基本認証を使用します。これにより、ユーザーは有効なユーザー名、パスワード、そのサーバーインスタンスのドメイン。

Studio krb5.propertiesサービスプリンシパル名（SPN）は、TDVSPNから派生しています。 TDV Serverは、必須のプリンシパル名構成パラメーターを使用して、Kerberosに対してTDVサービスを認証します。

そのTDV Serverインスタンスに接続するすべてのStudioクライアントは、TDVインスタンスのSPNから派生したSPNを使用する必要があります。たとえば、必須のプリンシパル名がHTTP/krb5-win.support.net@SUPPORT.NETの場合、派生SPNはHTTP@krb5-win.support.netです。 StudioインスタンスのユーザーがKerberos SSO認証を使用して別のTDV Serverインスタンスに接続する場合は、そのTDVインスタンスのSPN名を使用するようにkrb5.propertiesファイルのSPN値を変更する必要があります。

krb5.propertiesファイルの詳細については、Krb5LoginModuleJavaのドキュメントを参照してください。

このファイルをSecuritySupport Provider Interface（SSPI）用に構成する方法の詳細については、SSPISSO用のStudioKerberosプロパティファイルの準備を参照してください。

このファイルをJava Generic Security Services（JGSS）用に構成する方法の詳細については、JGSSSSO用のStudioKerberosプロパティファイルの準備を参照してください。