14 Windows NT認証プロバイダの構成
Windows NT認証プロバイダは、Windows NTドメイン用に定義されたアカウント情報を使用してユーザーとグループを認証し、Windows NTのユーザーとグループをOracle WebLogic Server管理コンソールに表示します。
この章の内容は次のとおりです。
Windows NT認証プロバイダについて
ノート:
Windows NT認証プロバイダは、WebLogic Server 10.0から非推奨になりました。かわりに、1つまたは複数のサポートされている別の認証プロバイダを使用してください。
ドメイン・コントローラの設定
smith
など)。複合ユーザー名は、ユーザー名とドメイン名の組合せです(domain\smith
やsmith@domain
など)。
ローカル・マシンがMicrosoftドメインの一部でない場合、「ドメイン・コントローラ」および「ドメイン・コントローラ・リスト」属性の変更は必要ありません。スタンドアロン・マシンでは、認証を受けるユーザーとグループはそのマシンのみで定義されます。
ローカル・マシンがMicrosoftドメインの一部であり、ローカル・ドメインのドメイン・コントローラである場合、「ドメイン・コントローラ・リスト」属性の変更は必要ありません。この場合、ローカル・マシンとローカル・ドメインで定義されているユーザーは同じなので、「ドメイン・コントローラ」のデフォルトの設定を使用できます。
ローカル・マシンがMicrosoftドメインの一部であるが、ローカル・ドメインのドメイン・コントローラではない場合、単純ユーザー名はローカル・マシンまたはドメインのいずれかで発見されます。この場合は、以下のことを考慮します。
-
ローカル・マシンがMicrosoftドメインの一部の場合に、そのユーザーとグループが管理コンソールに表示されないようにする必要がありますか?
-
単純ユーザー名が入力されたときにローカル・マシンのユーザーが検索および認証されるようにする必要がありますか?
いずれかの質問の答えが「はい」の場合、「ドメイン・コントローラ」属性をDOMAIN
に設定します。
信頼性のあるドメインが複数ある場合、「ドメイン・コントローラ」属性をLIST
に設定し、「ドメイン・コントローラ・リスト」を指定する必要が生じる場合があります。これは、次の場合に行います。
-
他の信頼性のあるドメインのユーザーとグループを管理コンソールに表示する必要があるか、または
-
ユーザーが単純なユーザー名を入力し、これらのユーザーが信頼性のあるドメインに配置される(つまり、ユーザーが
smith@domain
やdomain\Smith
ではなくsmith
のような単純なユーザー名でサインオンする)ことが予想されます。
このいずれかの場合、「ドメイン・コントローラ」属性をLIST
に設定し、使用する信頼性のあるドメインの「ドメイン・コントローラ・リスト」属性にドメイン・コントローラの名前を指定します。また、ローカル・マシンとローカル・ドメイン・コントローラの明示的な名前を使用するかどうか、またはそれらのリストでプレースホルダーを使用するかどうかも検討します。「ドメイン・コントローラ・リスト」属性には以下のプレースホルダーを使用できます。
-
[Local]
-
[LocalAndDomain]
-
[Domain]
LogonTypeの設定
Windows NT認証プロバイダのLogonType
属性の適切な値は、認証できるようにするユーザーのWindows NTログオン権限によって異なります。
-
WebLogic Serverが動作するマシン上でユーザーに割り当てられているログオン権限が「ローカルにログオン」の場合、デフォルト値の
interactive
を使用します。 -
ユーザーに割り当てられている権限が「ネットワークからこのコンピュータにアクセスする」の場合、LogonType属性を
network
に変更します。
Windows NTドメインのユーザーには、上記の権限のいずれかを割り当てる必要があります。このようにしない場合、Windows NT認証プロバイダはユーザーを認証できません。
UPN名の設定
user@domain
です。@記号を含むがUPN名ではないユーザー名をWindows NT認証プロバイダがどのように扱うかは、Windows NT認証プロバイダのmapUPNNames
属性で設定します。
UPNユーザー名以外に、@記号を含むユーザー名がWindows NTドメインとローカル・マシンに存在しない場合、mapUPNNames
属性のデフォルト値であるFIRST
を使用できます。しかし、この値をALWAYS
に変更することによって、認証の失敗の検出時間を短縮できる場合があります。これは特に、長いドメイン・コントローラ・リストを指定した場合に効果的です。
Windows NTドメインで、@記号を含むUPN以外のユーザー名が存在する場合、次のように設定します。
-
@記号を含むユーザー名が単純ユーザー名ではなくUPNユーザー名である可能性が高い場合、
mapUPNNames
属性をFIRST
に設定します。 -
@記号を含むユーザー名がUPNユーザー名ではなく単純ユーザー名である可能性が高い場合、
mapUPNNames
属性をLAST
に設定します。 -
ユーザー名がUPN形式ではない場合、
mapUPNNames
属性をNEVER
に設定します。