SSPI Kerberos SSOの設定
TDVとStudioは、サービスプリンシパル名(SPN)を持つアカウントのKerberosシングルサインオン(SSO)用にWindowsのセキュリティサポートプロバイダーインターフェイス(SSPI)を使用できます。
Kerberos SSOのセットアップでは、顧客がWindowsサービスウィンドウを使用して、TIBCOデータ仮想化サーバーのWindowsでドメインネームサービス(DNS)アカウントを作成したことを前提としています。 TDV ServerのローカルDNSアカウントがない場合は、アカウントを設定する必要があります(たとえば、SUPPORT <ドメイン> + <ユーザー> + <パスワード>)。
ODBC、JDBC、Studio、公開されたWebサービス、およびODataは、SSPIベースのKerberos認証をサポートしています。
注:データソースは、JGSSベースのネゴシエートおよびKerberos認証のみをサポートします。 SSPI Kerberos認証で設定されたデータソースをイントロスペクトすると、401認証エラーメッセージが表示されます。
SSPI Kerberos SSO用にTDV ServerとStudioを準備するには、次の手順に従います。
SSPI Kerberos SSO用のTDVサービスのセットアップ
SSPI Kerberos SSOのサーバー側をセットアップするには、サービスを構成し、グループをインポートし、特権を割り当てる必要があります。
注: SSPI Kerberos Windowsクライアントは、TDVから基盤となるデータソースへの接続を認証できません。ただし、SSPI Kerberos Windowsクライアントは、TDVへの接続を認証できます。
次の手順に従って、SSPI Kerberos SSOのTDVサービスを設定します。
1. Windows環境で[サービス]ウィンドウを開きます。
たとえば、Windows 10では、[スタート] > [設定]を選択します。設定検索バーに「services」と入力し、「View Local Services」をクリックして、WindowsサービスManagerを開きます。
2. Kerberos SSO用に設定しているTDVインスタンスまでスクロールします
3. インスタンスを右クリックして、コンテキストメニューから[プロパティ]を選択します。
このプロパティウィンドウでSSPI Kerberosを設定する必要があります。
4. [ログオン]タブで、[このアカウント]ラジオボタンを選択し、インスタンスのセットアップに使用されたサービスアカウントのクレデンシャルを指定します。サービスアカウントは、アプリケーションサーバーを使用する個々のユーザーに必要なアクセス許可を最小限に抑えながら、サービス固有のアクセス許可とアクセス許可でネットワークリソースにアクセスするために使用されます。ドメイン管理者は通常、このアカウントを作成します。
5. Studioのメニューバーで、[管理] > [Launch Manager (Web)]を選択します。
6. WebManagerにログインし、[ドメインManager]ページに移動してLDAPドメインを作成します。
7. [ドメイン] > [ドメイン名]をクリックします。
通常は、サーバーのURLに[Active Directory]ラジオボタンを選択します。
8. LDAP名とパスワードを入力します。
9. [外部グループの追加]ボタンをクリックして、TDVを含むグループをインポートします。
[外部グループの追加]はすべてのグループをプルし、そのグループに対して適切な特権を設定します。グループが作成されたら、グループを選択し、[リソース特権の編集]をクリックして、アクセスツールと[すべてのリソースの読み取り]権限を付与します。
SSPI Kerberos SSO用のTDV Serverの構成
TDV Serverは、Kerberosドメインコントローラーに対してIDを既に認証しているユーザーの便宜のためにKerberos SSO認証をサポートします。
サーバー側では、SSPI Kerberos SSO用にTDVを構成する必要があります。
次の手順に従って、Kerberos SSO認証のTDVパラメータを設定します。
1. 管理者ユーザーとしてStudioにログインします。
2. Studioのメニューバーから[管理] > [構成]を選択します。
3. ツリーペインで、[サーバー] > [構成] > [セキュリティ] > [認証]フォルダーに移動します。
4. そのフォルダ内で次の変更を行います。
パラメータ |
アクションと説明 |
Windowsドメインマッピング |
キーと値のペアを入力します。
•キーは、認証されたユーザーの報告されたActive Directoryドメインです。
多くの場合、WindowsドメインキーとLDAP名の値は同じです。キーと値では大文字と小文字が区別されます。 SSO認証の問題を回避するために、キーと値のペアの大文字と小文字を区別するすべての組み合わせを提供します。 |
5. Kerberosサブフォルダーに移動します。
6. そのフォルダ内で次の変更を行います。
パラメータ |
アクションと説明 |
Kerberos認証を許可する |
この値をTrueに変更します。警告は、最初にKerberosを実装せずにこれを誤って変更することを回避するのに役立ちます。 |
ネイティブ |
SSPI Kerberosの場合はこれがTrueに設定されていることを確認してください。 |
7. [OK]をクリックします。
8. サーバーを再起動します。
SSPISSO用のStudioKerberosプロパティファイルの準備
SSPIシングルサインオンで使用するように構成する各Studioクライアントtで、krb5.propertiesファイルを設定する必要があります。
次の手順に従って、SSPIシングルサインオン用のkrb5.propertiesファイルを設定します。
1. <TDV_install_dir>\ conf\studioで、krb5_sample.propertiesのコピーを作成し、名前をkrb5.propertiesに変更します。
2. ワードパッドなどのエディタを開いて、krb5.propertiesを編集します。
3. SSPIでネイティブがtrueに設定されていることを確認します。
Native = true
4. SSPIに適用される行のコメントを解除し、現在のTDVインスタンスに適切な値を入力します。
####################################
# SSPI #
####################################
##Service Principal Name or Service account
spn=HTTP/FullyQualified_HostName@Realm
spn=[domain name]\\[account name]
spn=[account name]@[domain name]
5. Studioを再起動します。