Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerおよびEPM System Webサーバーを表すユーザー・オブジェクトを作成し、KerberosレルムのWebLogic ServerおよびWebサーバーを表すサービス・プリンシパル名(SPN)にマップします。クライアントでは、SPNがないサービスを検索できません。SPNは、ログイン・プロセスで使用するWebLogic Serverドメインにコピーするkeytabファイルに格納します。
手順の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverの保護のWebLogic Server用のKerberos識別の作成に関する項を参照してください。
WebLogic Server用のKerberos識別を作成するには:
Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerドメインおよびEPM Systemコンポーネントで使用されるIISをホストするコンピュータについて、ユーザー・アカウント(epmHostなど)を作成します。
注意:
マシンではなく、ユーザー・オブジェクトとして識別を作成します。
コンピュータの簡易名を使用します。たとえば、ホスト名がepmHost.example.comの場合、epmHostを使用します。
ユーザー・オブジェクトの作成時に使用したパスワードを書き留めます。これは、SPNの作成に必要です。
パスワード・オプション、特に「ユーザーは次回ログオン時にパスワードの変更が必要」オプションを選択しないでください。
Kerberosプロトコルに準拠するようにユーザー・オブジェクトを変更します。アカウントは、Kerberos事前認証を必要とします。
「Account」タブで、使用する暗号化を選択します。
他のアカウント・オプション(特に「Kerberos事前認証を必要としない」)が選択されていないことを確認します。
暗号化タイプを設定すると、オブジェクトのパスワードが破損する可能性があるため、パスワードをオブジェクトの作成時に設定したパスワードにリセットします。
Active Directoryドメイン・コントローラをホストするコンピュータで、コマンド・プロンプト・ウィンドウを開き、Active Directoryサポート・ツールがインストールされているディレクトリに移動します。
次のようなコマンドを使用して、手順1で作成したユーザー・オブジェクト(epmHost)にSPNが関連付けられていることを確認します。
setspn -L epmHost次のようなコマンドを使用して、Active Directoryドメイン・サービス(AD DS)でWebLogic ServerのSPNを構成し、共有秘密鍵を含むkeytabファイルを生成します。
ktpass -princ HTTP/epmHost.example.com@EXAMPLE.COM -pass password -mapuser epmHost -out c:\epmHost.keytab
WebLogic Serverをホストするコンピュータでkeytabファイルを作成します。
コマンド・プロンプトを開きます。
ktab -k keytab_filename -a epmHost@example.comパスワードの入力を求められたら、手順1でユーザーの作成時に設定したパスワードを入力します。
WebLogicドメイン内の起動ディレクトリ(C:\Oracle\Middleware\user_projects\domains\EPMSystemなど)にkeytabファイルをコピーします。
kinit -k -t keytab-file account-name
このコマンドで、account-nameはKerberosプリンシパルを示します。例: HTTP/epmHost.example.com@EXAMPLE.COM。このコマンドからの出力は次のようになります:
New ticket is stored in cache file C:\Documents and Settings\Username\krb5cc_MachineB