57.9 WNAをDCCとともに使用するための構成

Kerberos認証プロトコルは、セキュアなネットワーク接続が確立される前にエンティティ間で相互認証を行うためのメカニズムを提供します。

この項では、Access ManagerでDCCを使用するようWindowsネイティブ認証とKerberosを構成する方法について説明します。内容は次のとおりです。

• Kerberosプロトコルの初期化

• Access Managerの構成

ノート:

DCCの詳細は、「資格証明コレクションおよびログインの理解」を参照してください。

57.9.1 Kerberosプロトコルの初期化

Kerberosプロトコル用にAccess Managerを初期化できます。

初期化するには、次のようにします。

1. Windowsデータ・ストアでktpassコマンドを実行し、サービス、レルム、ユーザーおよびユーザー・パスワードを該当する値で置き換えます。

   ktpass -princ <SPN>@<REALM> -pass <Password> -mapuser <UserName> 
    -out <Keytab file name>
   

   次に例を示します。

   ktpass -princ HTTP/adc.example1.com@EXAMPLE.COM -pass Welcome1 -mapuser anil@example.com -out foobar2.keytab
   

   このコマンドはSPNを作成し、それを前のステップで作成したローカル・サービス・アカウントに関連付けます。

   ノート:

   RC4-HMAC暗号化のみがサポートされます。DES暗号化は使用しないでください。

2. ktpassコマンドによって生成されたキータブ出力をコピーし、DCCホスト・マシン上の適切な場所に配置します。
3. これに応じて、DCCホスト・マシン上の/etc/krb5.confファイルを変更します。

   次に例を示します。

   [loggings]
    default = FILE:/scratch/anikukum/krb/krb5libs.log
    kdc = FILE:/scratch/anikukum/krb/krb5kdc.log
    admin_server = FILE:/scratch/anikukum/krb/krbadmin.log
   
   [libdefaults]
    default_realm = EXAMPLE.COM
    ticket_lifetime = 24h
    forwardable = yes
    dns_lookup_realm = false
    dns_lookup_kdc = false
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    permitted_enctypes = rc4-hmac
    clockskew = 3600
    
   [realms]
    EXAMPLE.COM = {
     kdc = adc.example1.com
     admin_server = adc.example1.com
     default_domain = EXAMPLE.COM
    }
    
   [domain_realm]
   example.com = EXAMPLE.COM.example.com = EXAMPLE.COM
   

   ノート:

   マルチドメインActive Directory環境の場合、次に示すように、ドメインごとにエントリを追加します。

   [realms]
    EXAMPLE.COM = {
     kdc = adc.example1.com
     admin_server = adc.example1.com
     default_domain = EXAMPLE.COM
    }
    
    SPRITE.COM = {
     kdc = lmsib.sprite.com
     admin_server = lmsib.sprite.com
     default_domain = SPRITE.COM
    }
    
   [domain_realm]
   example.com = EXAMPLE.COM
   .example.com = EXAMPLE.COM
   sprite.com = SPRITE.COM
   .sprite.com = SPRITE.COM
   

4. DCCホスト・マシンでkinitコマンドを実行し、Kerberosチケットを取得します。

   kinit  -k -t <keytab file>  <SPN>@<Realm>
   

   次に例を示します。

   kinit -k -t foobar1.keytab HTTP/adc.example1.com@EXAMPLE.COM
   

5. klistコマンドを使用して、DCCホスト・マシン上のKerberosチケットを検証します。

   klist
   

57.9.2 Access Managerの構成

Kerberos認証モジュールを使用するようにAccess Managerを構成できます。

構成するには、次のようにします。

1. Kerberos認証スキームのチャレンジ・メソッドをWNAに変更します(該当する場合)。

   1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。

   2. 「起動パッド」タブで、「Access Manager」セクションの「認証スキーム」をクリックします。

   3. KerberosSchemeを検索し、「編集」をクリックします。

   4. チャレンジ・リダイレクトURLを、DCC WebゲートのURLに変更します。

      例: http://<DCC-WebGate-Hostname>:<Port>/

   5. 「適用」をクリックし、ページを閉じます。

2. LDAP認証モジュールのユーザー・アイデンティティ・ストアを、構成済のWindowsデータ・ストアに構成します。

   1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。

   2. 「起動パッド」タブで、「Access Manager」セクションの「認証モジュール」をクリックします。

   3. LDAPを検索し、「編集」をクリックします。

   4. ユーザー・アイデンティティ・ストアを、たとえばActive Directoryなどに変更します。

   5. 「適用」をクリックし、ページを閉じます。

3. Kerberos認証スキームを使用するように、リソースを保護するアプリケーション・ドメインを構成します。

   保護されたリソースにアクセスする前に、そのURLがローカル・イントラネットのセキュリティ・サイトに追加されていることを確認します。また、「詳細設定」タブで、「セキュリティ」下の「統合Windows認証の有効化」オプションを選択します。