JGSS Kerberos SSOの設定
TDVとStudioは、Kerberos SSOにJava Generic Security Services(JGSS)を使用できます。
注: Kerberos SSOのセットアップでは、お客様がWindowsサービスウィンドウを使用してTIBCOデータ仮想化サーバー用にWindowsでドメインネームサービス(DNS)アカウントを作成していることを前提としています。 TDV ServerのローカルDNSアカウントがない場合は、アカウントを設定する必要があります(たとえば、SUPPORT <ドメイン> + <ユーザー> + <パスワード>)。
JGSS Kerberos SSO用にTDV ServerとStudioを準備するには、次の手順に従います。
JGSS Kerberos SSO用のWindowsサービスのセットアップ(Windows上のTDV Serverのみ)
JGSS Kerberos SSOのサーバー側をセットアップするには、サービスを構成し、グループをインポートし、特権を割り当てる必要があります。
注: Kerberosを使用するJGSSクライアントは、TDVへの接続と基盤となるデータソースへの接続の両方を認証できます。
次の手順に従って、JGSS Kerberos SSOのTDVサービスを設定します。
1. Windows環境で[サービス]ウィンドウを開きます。
たとえば、Windows 10では、[スタート] > [設定]を選択します。設定検索バーに「services」と入力し、「View Local Services」をクリックして、WindowsサービスManagerを開きます。
2. Kerberos SSO用に設定しているTDVインスタンスまでスクロールします。
3. インスタンスを右クリックして、コンテキストメニューから[プロパティ]を選択します。
このプロパティウィンドウでJGSSKerberosを設定する必要があります。
4. [ログオン]タブで、[このアカウント]ラジオボタンを選択し、インスタンスのセットアップに使用されたサービスアカウントのクレデンシャルを指定します。サービスアカウントは、アプリケーションサーバーを使用する個々のユーザーに必要なアクセス許可を最小限に抑えながら、サービス固有のアクセス許可とアクセス許可でネットワークリソースにアクセスするために使用されます。ドメイン管理者は通常、このアカウントを作成します。
5. Studioのメニューバーで、[管理] > [Launch Manager (Web)]を選択します。
6. WebManagerにログインし、[ドメインManager]ページに移動してLDAPドメインを作成します。
7. [ドメイン] > [ドメイン名]をクリックします。通常、サーバーURLの[Active Directory]ラジオボタンを選択します。
8. LDAP名とパスワードを入力します。
9. [外部グループの追加]ボタンをクリックして、TDVを含むグループをインポートします。
[外部グループの追加]はすべてのグループをプルし、そのグループに対して適切な特権を設定します。グループが作成されたら、グループを選択し、[リソース特権の編集]をクリックして、アクセスツールと[すべてのリソースの読み取り]権限を付与します。
JGSS Kerberos SSO用のTDV Serverの構成
TDV Serverは、Kerberosドメインコントローラーに対してIDを既に認証しているユーザーの便宜のために、JGSS Kerberos SSO認証をサポートしています。
注:データソースはJGSSベースのネゴシエートおよびKerberos認証をサポートしていますが、SSPI Kerberos認証はサポートしていません。
サーバー側では、JGSS Kerberos SSO認証用にTDVを構成する必要があります。
次の手順に従って、JGSS Kerberos SSO認証のTDVパラメーターを構成します。
1. 管理者ユーザーとしてStudioにログインします。
2. Studioのメニューバーから[管理] > [構成]を選択します。
3. [構成]ウィンドウのツリーペインで、[サーバー] > [構成] > [セキュリティ] > [認証]フォルダーに移動します。
4. そのフォルダ内で次の変更を行います。
パラメータ |
アクションと説明 |
Windowsドメインマッピング |
キーと値のペアを入力します。
•キーは、認証されたユーザーの報告されたActive Directoryドメインです。
多くの場合、WindowsドメインキーとLDAP名の値は同じです。キーと値では大文字と小文字が区別されます。 |
5. Kerberosサブフォルダーに移動します。
6. そのフォルダ内で次の変更を行います。
パラメータ |
アクションと説明 |
Kerberos認証を許可する |
この値をTrueに変更します。警告は、最初にKerberosを実装せずにこれを誤って変更することを回避するのに役立ちます。 |
デバッグ出力Kerberos認証が有効 |
これをTrueに設定すると、TDVはJDKのKerberos実装出力メッセージをlogsディレクトリのcs_server.outに書き込みます。 |
KeyTabファイル |
TDV Serverで生成されたキータブファイルへの値ポイントを入力します。たとえば、TDVがLinuxサーバーにインストールされている場合、keytabファイルは<TDV_install_dir>/kerb5cis.ktにあります。 |
Kerberos構成ファイル |
Kerberos構成ファイルには、対象のKerberosレルムのキー配布センター(KDC)と管理サーバーの場所、現在のレルムとKerberosアプリケーションのデフォルト、およびKerberosレルムへのホスト名のマッピングが含まれています。
このファイルは通常次のとおりです。
•c:\WINDOWS\krb.ini(Windows)
•/etc/krb.conf(UNIX)
この値への変更は、サーバーが再起動するまで有効になりません。 |
ネイティブ |
JGSSKerberosの場合はこれがFalseに設定されていることを確認してください。 |
必要なプリンシパル名 |
Kerberossetspnユーティリティの呼び出しによって確立されたSPN値を入力します。 TDVは、Kerberosドメインサーバーをアドレス指定するためにSPNを認識している必要があります。 |
7. [OK]をクリックします。
8. サーバーを再起動します。
JGSSSSO用のStudioKerberosプロパティファイルの準備
JGSSシングルサインオンで使用するように構成する各Studioクライアントtで、krb5.propertiesファイルを設定する必要があります。
次の手順に従って、JGSSシングルサインオン用のkrb5.propertiesファイルを設定します。
1. <TDV_install_dir>\ conf\studioで、krb5_sample.propertiesのコピーを作成し、名前をkrb5.propertiesに変更します。
2. ワードパッドなどのエディタを開いて、krb5.propertiesを編集します。
3. JGSSのネイティブがfalseに設定されていることを確認します。
4. シングルサインオンにSSPI Kerberosを使用してログインする予定の各ユーザーの[特定のユーザー-JGSS]セクションをコピーします。
Native = false
5. JGSSに適用される行のコメントを解除し、現在のTDVインスタンスに適切な値を入力します。
####################################
# Default User -- JGSS #
####################################
##Service Principal Name
spn=HTTP@dev-krb5-win.support.net
native=false
doNotPrompt=true
useKeyTab=false
debug=true
useTicketCache=true
renewTGT=true
krb5.conf=c:/krb5.conf
####################################
# Specific User -- JGSS #
####################################
##Service Principal Name
#spn=HTTP@dev-krb5-win.support.net
#native=false
#principal=principalName
#doNotPrompt=true
#storeKey=true
#debug=true
#useKeyTab=true
#keyTab=keytab file
これでStudioの準備が整いました。
6. Studioを再起動します。