A Windows統合認証(Kerberos)をサポートするためのEDQの構成

この付録では、KerberosおよびActive Directoryと連携するようにEDQを構成する方法について説明します。

login.propertiesを使用したEDQとActive Directoryの統合(「EDQでの外部ユーザー管理(LDAP)の直接構成」を参照)では、ユーザーがWindowsにログインすると、EDQに再度ログインする必要がなくなるシングル・サインオン(SSO)をサポートするように構成できます。これは、WebLogicとTomcatの両方でサポートされます。

SSOを有効にするには、EDQサーバーを設定して、クライアントPCからのKerberos認証を有効にする必要があります。この認証は、標準のGSSAPIトークン交換メカニズム(RFC 4121)を使用して実現します。クライアントは、ドメイン・コントローラ(DC)に接続して、サーバー・アプリケーションが提供するサービスに対するアクセスをリクエストします。DCからのレスポンスは、クライアントによってサーバーに送信されるトークンにエンコードされます。サーバーは、このトークンを検証し、クライアントに送信するための別のトークンを生成します。トークン交換は、クライアントとサーバーがセキュアなコンテキストを確立するまで継続できます。実際には、いずれの方向についても、この交換で2つ以上のトークンが必要になることはありません。

起動時に、サーバー・アプリケーションは、セキュリティ・コンテキストの半分を初期化するために使用する受入れ資格証明を設定します。