Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerおよびEPM System Webサーバーを表すユーザー・オブジェクトを作成し、KerberosレルムのWebLogic ServerおよびWebサーバーを表すサービス・プリンシパル名(SPN)にマップします。クライアントでは、SPNがないサービスを検索できません。SPNは、ログイン・プロセスで使用するWebLogic ServerドメインにコピーするKeytabファイルに格納します。
手順の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic Server用のKerberos識別の作成に関する項を参照してください。
WebLogic Server用のKerberos識別を作成するには:
Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerドメインおよびEPM Systemコンポーネントで使用されるIISをホストするコンピュータについて、ユーザー・アカウント(epmHostなど)を作成します。
注:
マシンではなく、ユーザー・オブジェクトとして識別を作成します。
コンピュータの簡易名を使用します。たとえば、ホスト名がepmHost.example.comの場合、epmHostを使用します。
ユーザー・オブジェクトの作成時に使用したパスワードを書き留めます。これは、SPNの作成に必要です。
パスワード・オプション、特に「ユーザーは次回ログオン時にパスワードの変更が必要」オプションを選択しないでください。
Kerberosプロトコルに準拠するようにユーザー・オブジェクトを変更します。オブジェクトの暗号化タイプはDESにする必要があり、アカウントはKerberos事前認証を必要とします。
「アカウント」タブで、「このアカウントにDES暗号化を使う」チェック・ボックスを選択します。
他のアカウント・オプション(特に「Kerberos事前認証を必要としない」)が選択されていないことを確認します。
暗号化タイプを設定すると、オブジェクトのパスワードが破損する可能性があるため、パスワードをオブジェクトの作成時に設定したパスワードにリセットします。
Active Directoryドメイン・コントローラをホストするコンピュータで、コマンド・プロンプト・ウィンドウを開き、Active Directoryサポート・ツールがインストールされているディレクトリに移動します。
setspnユーティリティを使用して、手順1で作成したユーザー・アカウント(epmHost)のSPNを作成します。
たとえば、次のコマンドを使用します:
setspn -a host/epmHost.example.com epmHost setspn -a HTTP/epmHost.example.com epmHost次のようなコマンドを使用して、手順1で作成したユーザー・オブジェクト(epmHost)にSPNが関連付けられていることを確認します。
setspn -L epmHost次のようなコマンドを使用して、Active Directoryドメイン・サービス(AD DS)でWebLogic ServerのSPNを構成し、共有秘密鍵を含むkeytabファイルを生成します。
ktpass -princ HTTP/ epmHost.example.com @ epmHost.example.com -pass password -mapuser epmHost -out c:\epmHost.keytabこれも同様
WebLogic Serverをホストするコンピュータでkeytabファイルを作成します。
コマンド・プロンプトを開きます。
ktab -k keytab_filename -a epmHost@example.comパスワードの入力を求められたら、手順1でユーザーの作成時に設定したパスワードを入力します。
WebLogicドメイン内の起動ディレクトリ(C:\Oracle\Middleware\user_projects\domains\EPMSystemなど)にkeytabファイルをコピーします。
kinit -k -t keytab-file account-nameこのコマンドからの出力は次のようになります:
New ticket is stored in cache file C:\Documents and Settings\Username\krb5cc_MachineB