Kerberos 構成

ここでは、Kerberos 認証を使用して、Scheduler 管理ツールでシングルサインオン (SSO) を有効にする方法を説明します。SSO では、ユーザーは資格情報を入力する必要はありません。それらは自動的に検証されます。

重要

シングルサインオン (SSO) を有効にするには、Scheduler 管理ツールと Scheduler サーバーの 両方 で Kerberos を有効にする必要があります。ここでは、Scheduler 管理ツールでの手順を説明します。

Scheduler 管理ツールで Kerberos 認証を有効にするには、以下の手順に従います。

  1. Scheduler がユーザーを認証する Virtual DataPort サーバーで Kerberos 認証を有効にします。そのためには、管理ガイドの「 Kerberos 認証 」の手順に従います。

  2. インストールガイドの「 Scheduler での Kerberos 認証の設定 」に記載された、インストール後のタスクの手順に従います。

  3. Scheduler サーバーの Kerberos 認証 を設定します。

  4. Scheduler Web 管理ツールの以下のページで使用可能なフォームに以下の情報を入力します。

Kerberos configuration dialog

Kerberos 構成のダイアログ

  1. [Use Kerberos] を選択します。

  2. [Server Principal] ボックスに、 keytab ファイルの作成に使用される「サービスプリンシパル名」 (SPN) を入力します。つまり、Web 管理ツールが実行されているサーバーの完全修飾ドメイン名 (FQDN) を含む SPN です。たとえば、「HTTP/denodo-prod.subnet1.contoso.com@CONTOSO.COM」のようになります。

  3. [Keytab file] フィールドで、指定された領域に keytab ファイルをドラッグアンドドロップするか、フィールドをクリックし、ファイルエクスプローラーを開いてファイルを選択します。keytab ファイルがアップロード済みの場合は、そのファイルが表示されます。削除するには、ごみ箱アイコンを使用します。

  4. この Scheduler 管理ツールが実行されているホストが Kerberos レルム (例: Windows Active Directory ドメイン) に属していない場合を除き、[Kerberos configuration file] ボックスは空のままにします。このホストが Kerberos レルムに属して いない 場合は、以下のいずれかを実行します。

    a. Drag and drop the krb5.conf or krb5.ini file with the Kerberos settings over the specified area or click it to open a file explorer to select the file. If a configuration file was previously uploaded, it will be shown and you could use the trash icon to delete it. b. Or follow the steps described in the appendix Kerberos レルムに属することなく Scheduler において Kerberos 認証を利用する of the Installation Guide.

  5. 問題が発生した場合に備えて、Kerberos の初回設定時に [Activate Kerberos debug mode] チェックボックスをチェックすることをお勧めします。Kerberos が機能するようになったら、このチェックを外します。

    このオプションを有効にした場合のデバッグ情報の確認方法については、インストールガイドの付録「 Web アプリケーションで Kerberos をデバッグする方法 」を参照してください。

  1. Scheduler 管理ツールを再起動して、これらの変更を有効にします。

これらの変更後、ユーザーはユーザー名やパスワードを入力せずに Scheduler 管理ツールにアクセスできるようになります。ユーザーのシステムの Kerberos 資格情報がブラウザーによって送信されるためです。この仕組みを機能させるためには、ユーザーは手順 2 で構成した完全修飾 URL (FQDN) (例: https://denodo-prod.subnet1.contoso.com:9443/webadmin/denodo-scheduler-admin/) を使用してアクセスする必要があります。

Authentication dialog with Single Sign-On

シングルサインオンでの認証ダイアログ

URL に uri パラメーターを追加して、Scheduler サーバーの URI を指定することができます。そうすると、Web 管理ツールは認証ページを表示せずに、その Scheduler サーバーによるユーザーの認証を試みます。たとえば、 https://denodo-prod.subnet1.contoso.com:9443/webadmin/denodo-scheduler-admin/?uri=//localhost:8000#/ のように指定します。