Kerberos 認証用の krb5 ファイルの提供¶
Denodo サーバーのコンポーネントで Kerberos 認証を有効にする場合、以下の条件の 1 つ以上にあてはまる場合は、Kerberos 構成ファイル (krb5 ファイル) を入手する必要があります。
Denodo サーバーが実行されているホストが Windows ドメインに属していない。
Denodo サーバーが Linux 上で実行されている。
Denodo サーバーのコンポーネントで使用される Active Directory のユーザーアカウントで、 制約付き委任 (constrained delegation) のオプションが有効になっている。
Virtual DataPort Administration Tool では、Active Directory が既定で「転送可能な」チケットを返さない場合は、krb5 ファイルが必要です。
これらのいずれかの条件にあてはまる場合は、オペレーティングシステムの既定のパスに krb5 ファイルがあるかどうかを確認します (表「 krb5 ファイルの既定の場所 (オペレーティングシステム別) 」を参照してください)。
オペレーティングシステム |
krb5 ファイルの既定のパス |
---|---|
Windows |
<Windows ディレクトリ>\krb5.ini (通常、システムディレクトリは C:\Windows)。 Windows では、このファイルの名前は krb5.conf ではなく krb5.ini であることに注意してください。 |
Linux |
/etc/krb5.conf |
Solaris |
/etc/krb5/krb5.conf |
このファイルが存在する場合、ファイルの [libdefaults]
セクションに forwardable = true
プロパティがあることを確認します。
このファイルが存在しない場合、既定のパスにファイルを作成します。図「 krb5 ファイルのサンプル 」に krb5 ファイルの例を示します。
[libdefaults]
default_realm = CONTOSO.COM
forwardable = true
[realms]
CONTOSO.COM = {
kdc = dc-01.contoso.com
default_domain = CONTOSO.COM
}
[domain_realm]
.contoso.com = CONTOSO.COM
プロパティが forwardable = true
と設定されている場合、システムは Kerberos サーバーに「転送可能な」チケットを要求します。このチケットを他のアプリケーション (ここでは Virtual DataPort Server) で使用して、ユーザーの代わりにサービスチケットを要求することができます。このサービスチケットは、Virtual DataPort クライアント (つまり、Administration Tool、JDBC クライアント、および ODBC クライアント) の代わりに他のサービス (たとえば、データベース) に対して Kerberos 要求を実行するために使用されます。