ローカル・システム・アカウントを使用したWindowsサービスとしてのEDQの実行

EDQアプリケーション・サーバーが、ローカル・システム・アカウントを使用してドメイン内のWindowsサーバーで実行されている場合、構成は非常に簡単になります。EDQは、受入れ資格証明を処理し、ユーザー・ルックアップでADに接続するために、システム・アカウントを使用します。

この構成のEXAMPLE.COMのlogin.propertiesは、次のとおりです。

# EXAMPLE.COM LDAP integration
# ----------------------------
 
realms                         = internal, ad
ldap.prof.useprimarygroup      = false
clientcreds                    = true
 
ad.realm                       = EXAMPLE.COM
ad.auth                        = ldap
ad.auth.bindmethod             = simple
ad.auth.binddn                 = search: dn
 
ad.ldap.profile                = adsldap
ad.ldap.prof.defaultusergroup  = edqusers
ad.ldap.prof.groupsearchfilter = (cn=edq*)

'clientcreds'設定は、Kerberos資格証明が現在のユーザーのキャッシュ(この場合はローカル・システム・アカウント)から取得されることを示します。これらの資格証明は、Active Directoryに接続し、受入れGSSAPIコンテキストを設定するために使用されます。

Active Directoryドメインのメンバーであるサーバーは、通常、DNSルックアップでドメイン・コントローラを使用します。この場合、EDQでは、自動的にLDAPサーバーのアドレスが決定されます。ドメイン・コントローラの一部が遠隔地に存在するなどの理由によりアドレスを固定する場合、次のようにldap.serverプロパティを使用します。

ad.ldap.server                 = dc1.example.com