Kerberos は、不可視のネットワークを使用して通信し、相互のアイデンティティを安全に知らせるためのノードを許可するネットワーク認証です。Kerberos は、Microsoft® Windows ネットワーク内のユーザー認証で推奨される方法です。また、Linux オペレーティング システムでも広く使用されており、すべての主要なプラットフォームで使用できるように設計されています。
手順
Kerberos 設定ファイルがない場合は、インストール メディアの Add-ons\Kerberos から kbr5.conf を入手します。たとえば、「krb5.conf」といった名前を付けて、次の行を追加し、要件にあわせて設定を調整します。
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
キータブのサービス プリンシパル名が、たとえば「mypc01@MY.DOMAIN.COM」であった場合、プロパティ「com.company.aris.umc.kerberos.servicePrincipalName」の値には、キータブ ファイルで指定されたものと全く同じサービス プリンシパル名が含まれている必要があります。
例: MYDOMAIN.COM
ユーザーがログオンするプログラムのデバッグ出力は、対応するプログラムの system.out ファイルに保存されます。ユーザー管理に関しては、たとえば、これは <ARIS インストール ディレクトリ>>/work_umcadmin_m/base/logs ディレクトリにあります。
ARIS 管理で Kerberos を使用した SSO が設定されました。
複数の LDAP システムで Kerberos を使用できます。
クライアント設定
SSO が使用できるようにブラウザーを設定します。SSO は次のブラウザーでテストが実施されています:
必要条件
Microsoft® Active Directory ドメイン サービスが変更された場合は、古いチケットを回避するために、各クライアントの Kerberos チケット キャッシュをクリアする必要があります。コマンド klist.exe purge を実行して、Kerberos チケット キャッシュを削除します。クライアント コンピューターで消去プログラムが使用できない場合は、ドメインからクライアント コンピューターをログオフし、もう一度ログインすることもできます。
Microsoft® Internet Explorer®
Microsoft® Internet Explorer® は、ARIS Server がローカルのイントラネットの一部である場合のみ、Kerberos 認証をサポートしています。
手順
Mozilla Firefox®
Mozilla Firefox® では、コンピューター名、IP アドレス、またはその両方の組み合わせを使用して、信頼できるサイトを定義できます。ワイルドカードを利用することもできます。
手順
AES 128 ビットより強力な暗号化の使用を希望しており、これがお住まいの国で許可されている場合は、ARIS Server の JDK の JCE ポリシー ファイルを Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6 と置き換えます。これにより、無制限のキー長が使用できるようになります。
ポリシー ファイルは置き換えることができないが、SSO の使用を希望する場合は、Kerberos チケットを暗号化するための (AES 128 ビットなど)、JDK によって許可されている手順を適用する必要があります。