Kerberos 認証用の krb5 ファイルの提供¶

Denodo サーバーのコンポーネントで Kerberos 認証を有効にする場合、以下の条件の 1 つ以上にあてはまる場合は、Kerberos 構成ファイル (krb5 ファイル) を入手する必要があります。

• Denodo サーバーが実行されているホストが Windows ドメインに属していない。

• Denodo サーバーが Linux 上で実行されている。

• Denodo サーバーのコンポーネントで使用される Active Directory のユーザーアカウントで、 制約付き委任 (constrained delegation) のオプションが有効になっている。

Virtual DataPort Administration Tool では、Active Directory がデフォルトで「転送可能な」チケットを返さない場合は、krb5 ファイルが必要です。

これらのいずれかの条件にあてはまる場合は、オペレーティングシステムのデフォルトのパスに krb5 ファイルがあるかどうかを確認します (表「 krb5 ファイルのデフォルトの場所 (オペレーティングシステム別) 」を参照してください)。

このファイルが指定の場所に存在しない場合、次の JVM オプションを使用して VirtualDataPort サーバーを起動する必要があります: -Djava.security.krb5.conf=<REPLACE_WITH_PATH_TO_KRB5_FILE>

このファイルが存在する場合、ファイルの [libdefaults] セクションに forwardable = true プロパティがあることを確認します。

このファイルが存在しない場合、デフォルトのパスにファイルを作成します。図「 krb5 ファイルのサンプル 」に krb5 ファイルの例を示します。

[libdefaults]
    default_realm = CONTOSO.COM
    forwardable = true

[realms]
CONTOSO.COM = {
    kdc = dc-01.contoso.com
    default_domain = CONTOSO.COM
}

[domain_realm]
    .contoso.com = CONTOSO.COM

プロパティが forwardable = true と設定されている場合、システムは Kerberos サーバーに「転送可能な」チケットを要求します。このチケットを他のアプリケーション (ここでは Virtual DataPort Server) で使用して、ユーザーの代わりにサービスチケットを要求することができます。このサービスチケットは、Virtual DataPort クライアント (つまり、Administration Tool、JDBC クライアント、および ODBC クライアント) の代わりに他のサービス (たとえば、データベース) に対して Kerberos 要求を実行するために使用されます。