Windows NT認証プロバイダは、Windows NTドメイン用に定義されたアカウント情報を使用してユーザーとグループを認証し、Windows NTのユーザーとグループをWebLogic Server管理コンソールに表示します。
この章には次のトピックが含まれます:
ノート:
Windows NT認証プロバイダは、WebLogic Server 10.0から非推奨になりました。かわりに、1つまたは複数のサポートされている別の認証プロバイダを使用してください。
smith
など)。複合ユーザー名は、ユーザー名とドメイン名の組合せです(domain\smith
やsmith@domain
など)。ローカル・マシンがMicrosoftドメインの一部でない場合、「ドメイン・コントローラ」および「ドメイン・コントローラ・リスト」属性の変更は必要ありません。スタンドアロン・マシンでは、認証を受けるユーザーとグループはそのマシンのみで定義されます。
ローカル・マシンがMicrosoftドメインの一部であり、ローカル・ドメインのドメイン・コントローラである場合、「ドメイン・コントローラ・リスト」属性の変更は必要ありません。この場合、ローカル・マシンとローカル・ドメインで定義されているユーザーは同じなので、「ドメイン・コントローラ」のデフォルトの設定を使用できます。
ローカル・マシンがMicrosoftドメインの一部であるが、ローカル・ドメインのドメイン・コントローラではない場合、単純ユーザー名はローカル・マシンまたはドメインのいずれかで発見されます。この場合は、以下のことを考慮します。
ローカル・マシンがMicrosoftドメインの一部の場合に、そのユーザーとグループが管理コンソールに表示されないようにする必要がありますか?
単純ユーザー名が入力されたときにローカル・マシンのユーザーが検索および認証されるようにする必要がありますか?
いずれかの質問の答えが「はい」の場合、「ドメイン・コントローラ」属性をDOMAIN
に設定します。
信頼性のあるドメインが複数ある場合、「ドメイン・コントローラ」属性をLIST
に設定し、「ドメイン・コントローラ・リスト」を指定する必要が生じる場合があります。これは、次の場合に行います。
他の信頼性のあるドメインのユーザーとグループを管理コンソールに表示する必要があるか、または
ユーザーが単純なユーザー名を入力し、これらのユーザーが信頼性のあるドメインに配置される(つまり、ユーザーがsmith@domain
やdomain\Smith
ではなくsmith
のような単純なユーザー名でサインオンする)ことが予想されます。
このいずれかの場合、「ドメイン・コントローラ」属性をLIST
に設定し、使用する信頼性のあるドメインの「ドメイン・コントローラ・リスト」属性にドメイン・コントローラの名前を指定します。また、ローカル・マシンとローカル・ドメイン・コントローラの明示的な名前を使用するかどうか、またはそれらのリストでプレースホルダーを使用するかどうかも検討します。「ドメイン・コントローラ・リスト」属性には以下のプレースホルダーを使用できます。
[Local]
[LocalAndDomain]
[Domain]
Windows NT認証プロバイダのLogonType
属性の適切な値は、認証できるようにするユーザーのWindows NTログオン権限によって異なります。
WebLogic Serverが動作するマシン上でユーザーに割り当てられているログオン権限が「ローカルにログオン」の場合、デフォルト値のinteractive
を使用します。
ユーザーに割り当てられている権限が「ネットワークからこのコンピュータにアクセスする」の場合、LogonType属性をnetwork
に変更します。
Windows NTドメインのユーザーには、上記の権限のいずれかを割り当てる必要があります。このようにしない場合、Windows NT認証プロバイダはユーザーを認証できません。
user@domain
です。@記号を含むがUPN名ではないユーザー名をWindows NT認証プロバイダがどのように扱うかは、Windows NT認証プロバイダのmapUPNNames
属性で設定します。UPNユーザー名以外に、@記号を含むユーザー名がWindows NTドメインとローカル・マシンに存在しない場合、mapUPNNames
属性のデフォルト値であるFIRST
を使用できます。しかし、この値をALWAYS
に変更することによって、認証の失敗の検出時間を短縮できる場合があります。これは特に、長いドメイン・コントローラ・リストを指定した場合に効果的です。
Windows NTドメインで、@記号を含むUPN以外のユーザー名が存在する場合、次のように設定します。
@記号を含むユーザー名が単純ユーザー名ではなくUPNユーザー名である可能性が高い場合、mapUPNNames
属性をFIRST
に設定します。
@記号を含むユーザー名がUPNユーザー名ではなく単純ユーザー名である可能性が高い場合、mapUPNNames
属性をLAST
に設定します。
ユーザー名がUPN形式ではない場合、mapUPNNames
属性をNEVER
に設定します。