Kerberos を使用する

Kerberos は、不可視のネットワークを使用して通信し、相互のアイデンティティを安全に知らせるためのノードを許可するネットワーク認証です。Kerberos は、Microsoft® Windows ネットワーク内のユーザー認証で推奨される方法です。また、Linux オペレーティング システムでも広く使用されており、すべての主要なプラットフォームで使用できるように設計されています。

手順

  1. ARIS Connect を起動します。
  2. 自分の名前または ユーザー メニュー [ユーザー メニュー] アイコンをクリックしてください。
  3. [管理] をクリックします。
  4. 設定 [設定] をクリックします。
  5. [ユーザー管理] をクリックします。
  6. [Kerberos] の横にある矢印をクリックします。
  7. [全般] 設定カテゴリをアクティブにします。

    Kerberos 設定ファイルがない場合は、インストール メディアの Add-ons\Kerberos から kbr5.conf を入手します。たとえば、「krb5.conf」といった名前を付けて、次の行を追加し、要件にあわせて設定を調整します。

    [libdefaults]

    default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

  8. 設定ファイルをアップロードするには、[設定ファイル] フィールドの アップロード [アップロード] をクリックします。このファイルは、インストール メディアの Add-ons\Kerberos の下にあります。
  9. 編集 [編集] をクリックします。
  10. [Kerberos を使用する] を有効にします。
  11. [プリンシパル] フィールドに、管理者から与えられた技術ユーザー名を入力します。

    キータブのサービス プリンシパル名が、たとえば「mypc01@MY.DOMAIN.COM」であった場合、プロパティ「com.company.aris.umc.kerberos.servicePrincipalName」の値には、キータブ ファイルで指定されたものと全く同じサービス プリンシパル名が含まれている必要があります。

  12. [領域] フィールドに、Kerberos サービス用の領域を設定します。大文字でドメインの完全修飾名を入力します。

    例: MYDOMAIN.COM

  13. [KDC] フィールドに、使用する KDC の完全修飾名を設定します。
  14. オプション:
    1. [詳細設定] をクリックします。
    2. [デバッグ出力] を有効にします。

      ユーザーがログオンするプログラムのデバッグ出力は、対応するプログラムの system.out ファイルに保存されます。ユーザー管理に関しては、たとえば、これは <ARIS インストール ディレクトリ>>/work_umcadmin_m/base/logs ディレクトリにあります。

ARIS 管理で Kerberos を使用した SSO が設定されました。

複数の LDAP システムで Kerberos を使用できます。

クライアント設定

SSO が使用できるようにブラウザーを設定します。SSO は次のブラウザーでテストが実施されています:

必要条件

Microsoft® Active Directory ドメイン サービスが変更された場合は、古いチケットを回避するために、各クライアントの Kerberos チケット キャッシュをクリアする必要があります。コマンド klist.exe purge を実行して、Kerberos チケット キャッシュを削除します。クライアント コンピューターで消去プログラムが使用できない場合は、ドメインからクライアント コンピューターをログオフし、もう一度ログインすることもできます。

Microsoft® Internet Explorer®

Microsoft® Internet Explorer® は、ARIS Server がローカルのイントラネットの一部である場合のみ、Kerberos 認証をサポートしています。

手順

  1. Microsoft® Internet Explorer® を起動します。
  2. [ツール] の [インターネット オプション] をクリックします。
  3. [セキュリティ] タブをアクティブにして、[ローカル イントラネット] をクリックします。
  4. [サイト] をクリックして、[詳細設定] を選択します。
  5. SSO 用に設定された ARIS Server の URL を追加します。ARIS Server の DNS ホスト名と IP アドレスを追加します。
  6. オプション: [このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをオフにします。
  7. [閉じる] をクリックして、[OK] を選択します。
  8. [レベルのカスタマイズ] をクリックして、ユーザー定義の設定が新規設定に影響しないことを確認してください。
  9. [ユーザー認証] セクションを探します。[イントラネット ゾーンでのみ自動的にログオンする] オプションがオンになっていることを確認してください。
  10. [OK] をクリックします。
  11. Microsoft® Internet Explorer® を閉じて、再起動します。

Mozilla Firefox®

Mozilla Firefox® では、コンピューター名、IP アドレス、またはその両方の組み合わせを使用して、信頼できるサイトを定義できます。ワイルドカードを利用することもできます。

手順

  1. Mozilla Firefox®を起動します。
  2. アドレス ボックスに「about:config」 と入力して、<Enter> キーを押します。必要な場合は、メッセージを確定します。
  3. 必要な場合は [検索] ボックスに「network.negotiate」と入力して、<Enter> キーを押します。
  4. network.negotiate-auth.trusted-uris をダブルクリックします。
  5. SSO 用に設定した ARIS Server のコンピューター名または IP アドレスを入力し、[OK] をクリックします。
  6. Mozilla Firefox® を閉じて、再起動します。

AES 128 ビットより強力な暗号化の使用を希望しており、これがお住まいの国で許可されている場合は、ARIS Server の JDK の JCE ポリシー ファイルを Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6 と置き換えます。これにより、無制限のキー長が使用できるようになります。

ポリシー ファイルは置き換えることができないが、SSO の使用を希望する場合は、Kerberos チケットを暗号化するための (AES 128 ビットなど)、JDK によって許可されている手順を適用する必要があります。