Kerberos レルムに属することなく Kerberos 認証を有効化する¶
Denodo Platform と Solution Manager のほとんどすべてのコンポーネントで Kerberos 認証を有効化できます。Kerberos 認証を有効化する場合、通常、Denodo Platform および Solution Manager をインストールしたコンピューターは、組織の Windows Active Directory ドメインに属しています。
ここでは、Windows ドメインに属していないコンピューターで Kerberos 認証を有効にする場合に必要な手順を説明します。
注釈
Denodo Platform のコンポーネントで Kerberos 認証を有効にするには、このページの手順に従って実施してください。
手順 1: 構成の詳細情報を取得する
Active Directory の管理者から以下の情報を取得します。
組織の「レルム」の名前。たとえば、「CONTOSO.COM」。
キー配布センター (KDC) のホスト名。複数存在する場合があります。
この情報を入手したら、これらの値をエディターにコピーして、 Kerberos 構成用 Java プロパティ を作成します。このプロパティの構文を以下に示します。
-Djava.security.krb5.realm=<Windows domain> -Djava.security.krb5.kdc=<Key distribution center 1>[:<key distribution center>]+'
組織に複数の キー配布センター (KDC) が存在する場合、各 KDC のホスト名をコロン (:
) で区切る必要があります。
以下に例を示します。
-Djava.security.krb5.realm=CONTOSO.COM -Djava.security.krb5.kdc=dc-01.contoso.com:dc-02.contoso.com
注釈
この文字列 (つまり Kerberos 構成用 Java プロパティ) は、このページの以降の手順で使用します。
手順 2: Virtual DataPort を構成する
Virtual DataPort に管理者アカウントでログインして、以下を実行します。
次のコマンドを実行します。
SELECT property_value FROM GET_PARAMETER() WHERE input_property_name = 'java.env.DENODO_OPTS_START';
結果の値を外部エディターにコピーします。以下に例を示します。
-Xmx4096m -XX:+DisableExplicitGC -XX:+UseG1GC -XX:ReservedCodeCacheSize=256m
次のコマンドを実行します。
SET 'java.env.DENODO_OPTS_START' = '<"property value" returned of the previous command> <Java properties for Kerberos configuration>
例
SET 'java.env.DENODO_OPTS_START' = '-Xmx4096m -XX:+DisableExplicitGC -XX:+UseG1GC -XX:ReservedCodeCacheSize=256m -Djava.security.krb5.realm=CONTOSO.COM -Djava.security.krb5.kdc=dc-01.contoso.com:dc-02.contoso.com';
手順 3: すべてのコンポーネントを停止する
Denodo Platform のすべてのコンポーネントを停止します。次に、 <DENODO_HOME>/bin/webcontainer_shutdown
を実行して Web コンテナーが停止していることを確認します。
手順 4: Scheduler、Scheduler Administration Tool、Data Catalog、Design Studio を構成する
Denodo Platform が GUI に対応している コンピューターで稼働している場合、以下を実行します。
Denodo Control Center を開きます。
[Configure] > [JVM Options] の順にクリックします。
[Web Container] ボックスおよび [Scheduler Server] ボックスに Kerberos 構成用 Java プロパティ を追加します (このフィールドの既存のコンテンツを削除 しない)。最終的に以下のような構成にする必要があります。
-Xmx1024m -Djava.security.krb5.realm=CONTOSO.COM -Djava.security.krb5.kdc=dc-01.contoso.com:dc-02.contoso.com';
-Djava.security.egd=file:/dev/urandom -Xmx1024m -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true -Dorg.apache.catalina.connector.CoyoteAdapter.ALLOW_BACKSLASH=true -Djava.locale.providers=COMPAT,SPI -Djava.security.krb5.realm=CONTOSO.COM -Djava.security.krb5.kdc=dc-01.contoso.com:dc-02.contoso.com
Denodo Platform が GUI に対応していない コンピューターで稼働している場合、以下を実行します。
ファイル
<DENODO_HOME>/resources/apache-tomcat/tomcat.properties
を編集し、java.env.DENODO_OPTS_START
プロパティの値に Kerberos 構成パラメータ (このページの手順 1 で定義した内容) を 追加 します。既存の値と Kerberos 構成パラメータ の間にスペースを入れる必要があります。Scheduler サーバーの場合、ファイル
<DENODO_HOME>/conf/scheduler/ConfigurationParameters.properties
を編集し、java.env.DENODO_OPTS_START
プロパティを見つけて Kerberos 構成パラメータ を 追加 します。<DENODO_HOME>/bin/regenerateFiles.sh
を実行します。
手順 5: コンポーネントを起動する
Denodo Platform のコンポーネントを起動します。
手順 6: Solution Manager にこの変更を適用する
Solution Manager のコンポーネントをすべて停止します。次に、ファイル <SOLUTION_MANAGER_HOME>/bin/webcontainer_shutdown
を実行して Web コンテナーが停止していることを確認します。
Solution Manager が GUI に対応している コンピューターにインストールされている場合、以下を実行します。
Solution Manager の Denodo Control Center を開きます。
[Configure] > [JVM Options] の順にクリックします。
以下のボックスに Kerberos 構成用の Java プロパティ を追加します (これらのボックスの既存の内容を削除 しない)。
Solution Manager Server
License Manager
Web container
Denodo Platform が GUI に対応していない コンピューターで稼働している場合、以下を実行します。
ファイル
<SOLUTION_MANAGER_HOME>/resources/apache-tomcat/tomcat.properties
を編集し、java.env.DENODO_OPTS_START
プロパティの値に Kerberos 構成パラメータ (このページの手順 1 で定義した内容) を 追加 します。既存の値と Kerberos 構成パラメータ の間にスペースを入れる必要があります。Solution Manager の場合、ファイル
<SOLUTION_MANAGER_HOME>/conf/solution-manager/SMConfigurationParameters.properties
で同じ手順を実行します。つまり、java.env.DENODO_OPTS_START
プロパティの値を変更します。License Manager の場合、ファイル
<SOLUTION_MANAGER_HOME>/conf/license-manager/LMConfigurationParameters.properties
で同じ手順を実行します。つまり、java.env.DENODO_OPTS_START
プロパティの値を変更します。<SOLUTION_MANAGER_HOME>/bin/regenerateFiles.sh
を実行します。
手順 7: Kerberos 認証を有効化する
これで、以下の Denodo Platform および Solution Manager のコンポーネントで Kerberos 認証を有効化できます。
手順 8: Virtual DataPort の Administration Tool で Kerberos を有効化する
Administration Tool をインストールしたコンピューターが Windows ドメインに属していない場合、以下の手順を実行する必要があります。
コンピューターの Denodo Control Center を開きます。
[Configure] > [JVM Options] の順にクリックします。
Virtual DataPort Administration Tool ボックスに、 Kerberos 構成用の Java プロパティ を追加します (このフィールドの既存の内容を削除 しない)。