Kerberos 構成

このタブでは、Kerberos を使用してユーザーをシングルサインオン (SSO) で Virtual DataPort に対して認可するように Data Catalog を構成することができます。つまり、Data Catalog のユーザーは資格情報を入力する必要はありません。

Data Catalog で Kerberos を構成する前に、Data Catalog がユーザーの認可を行う対象の Virtual DataPort サーバーで Kerberos 認可を構成する必要があります。この構成を行うには、まず『インストールガイド』にあるインストール後のタスク「 Data Catalog での Kerberos 認証の設定 」の指示に従い、その後、『Virtual DataPort 管理者ガイド』の「 Kerberos 認証 」の指示に従ってください。

最後に、Data Catalog で Kerberos 認可を設定します。この設定のためのウィザード (下図を参照) で、以下の詳細を指定します。

Kerberos configuration dialog

Kerberos を構成するためのダイアログ

  1. [Use Kerberos] を選択します。

  2. [Server Principal] ボックスに、 keytab ファイルの作成に使用する「サービスプリンシパル名」 (SPN) を入力します。つまり、Data Catalog が実行されているサーバーの完全修飾ドメイン名 (FQDN) を含む SPN です。たとえば、「HTTP/denodo-prod.subnet1.contoso.com@CONTOSO.COM」のように入力します。

  3. [Keytab file] ボックスに、 keytab ファイルのパスを入力します。

  4. [Kerberos configuration file] ボックスは、以下の条件のいずれにも該当しない場合は空のままにしておきます。

    • Denodo サーバーが実行されているホストが Windows Active Directory ドメインに属していない。

    • Denodo サーバーが Linux 上で実行されている。

    • Data Catalog で使用されている Active Directory 内のユーザーアカウントで、 制約付き委任 オプションが有効になっている。

    これらの条件のいずれかに該当する場合は、Kerberos 構成ファイル (krb5.conf または krb5.ini) がその デフォルトの場所 のいずれかに配置されていることを確認します。デフォルトの場所に配置されておらず、その場所にコピーできない場合は、Kerberos 構成ファイルのパスを入力します。

  5. 問題が発生した場合に備えて、Kerberos の初回設定時に、[Activate Kerberos debug mode] チェックボックスをチェックすることをお勧めします。Kerberos の設定が完了したら、チェックをはずします。

    このオプションを有効にした場合、デバッグ情報の確認方法については、『インストールガイド』の付録「 Web アプリケーションで Kerberos をデバッグする方法 」を参照してください。

  6. Data Catalog を再起動してこれらの変更を適用します。

これらの変更後にユーザーが Data Catalog にアクセスすると、資格情報を入力せずに自動的にログインするようになります。ユーザーのシステムの Kerberos 資格情報がブラウザーによって送信されるためです。この仕組みを機能させるためには、ユーザーは手順 2 で構成した完全修飾 URL (FQDN) (例: https://denodo-prod.subnet1.contoso.com:9443/denodo-data-catalog/) を使用してアクセスする必要があります。

複数の Virtual DataPort サーバーに接続できるように Data Catalog を構成した場合は、ユーザーは自動的にはログインしません。ユーザーは最初に、接続先の Virtual DataPort サーバーを選択する必要があります。ただし、資格情報の入力は不要です (下のスクリーンショットを参照してください)。

Authentication dialog with Single Sign-On

シングルサインオンでの認可ダイアログ

重要

Kerberos 構成に誤りがあるためにユーザーがログインできない場合は、 ローカルベースの認可 を使用して Kerberos 認可をバイパスできます。この場合、データのクエリは実行できなくなりますが、Data Catalog の Kerberos 設定を変更することはできます。