ドメインコントローラで、Access Manager 認証モジュール用のユーザーアカウントを作成します。
ユーザーアカウントをサービスプロバイダの名前と関連付け、Keytab ファイルを Access Manager がインストールされたシステムにエクスポートします。そのためには、次のコマンドを実行します。
ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname .HTTP.keytab |
ktpass コマンドには、次のパラメータを使用できます。
hostname: Access Manager が稼働する、ドメイン名なしのホスト名です。
domainname: Access Manager のドメイン名です。
DCDOMAIN: ドメインコントローラのドメイン名です。この名前は、Access Manager のドメイン名とは異なる場合があります。
password: ユーザーアカウントのパスワードです。ktpass はパスワードを検証しないので、パスワードが正しいことを確認してください。
userName: ユーザーアカウント ID です。これはホスト名と同じにする必要があります。
両方の Keytab ファイルがセキュリティー保護されているようにします。
サービステンプレートの値は、次の例のようになっている必要があります。
「サービス主体」: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM
「Keytab ファイル名」: /tmp/machine1.HTTP.keytab
「Kerberos レルム」: ISQA.EXAMPLE.COM
「Kerberos サーバー名」: machine2.EXAMPLE.com
「ドメイン名を含む主体を返す」: false
「認証レベル」: 22
サーバーを再起動します。