Kerberos 認証¶
Virtual DataPort では、Kerberos 認証プロトコルを使用してクライアントを認証できます。Kerberos 認証プロトコルは、Microsoft Windows ネットワーク (つまり Microsoft Active Directory を使用するネットワーク) で使用されるデフォルトの認証方法です。Kerberos を有効にするメリットは以下のとおりです。
シングルサインオン: Virtual DataPort のクライアントはユーザー資格情報を提供する必要がありません。たとえば、Administration Tool を起動するとき、ユーザーは資格情報の入力も JDBC クライアントへの接続も不要です。
ユーザーの認証は Active Directory に委任されます。これにより、Virtual DataPort ですべてのユーザーを作成し、そのパスワードを管理するのと比べて、ユーザーとその権限の管理が簡単になります。
ユーザーの認証を Active Directory に委任しても、シングルサインオンは使用したくない場合は、Kerberos よりセットアップが簡単な LDAP 認証を使用するデータベースを作成します。Kerberos を有効にするには、Active Directory での新規ユーザーの作成、サービスプリンシパル名の作成、keytab ファイルの作成などを行う必要があります。一方 LDAP 認証を使用するデータベースを作成する場合、構成の変更は一切不要です。
「 LDAP 認証 」では、LDAP 認証を有効にする方法を説明します。
Virtual DataPort で Kerberos を有効にした場合、以下のユーザーは引き続き通常の認証方法を使用して接続できます。
Virtual DataPort にローカルに作成されたユーザー
LDAP 認証を使用してデータベースに接続し、LDAP ディレクトリの資格情報を使用するユーザー
Kerberos を構成する前に、『インストールガイド』の「 Kerberos 認証の設定 」のセクションで説明しているインストール後のタスクを実行する必要があります。次に、Administration Tool から以下の操作を実行します。
ユーザーのロールの作成: 「 Virtual DataPort ユーザーのロールの作成 」のセクションを参照
組織の Active Directory に接続する LDAP データソースの作成: 「 LDAP データソースの作成 」のセクションを参照
Kerberos 認証の設定: 「 Virtual DataPort サーバーでの Kerberos 認証の設定 」のセクションを参照
Kerberos 認証を使用するように Administration Tool を構成: 「 Kerberos 認証を使用するように Administration Tool を構成する 」のセクションを参照
Session attribute mapping の定義: 認証されたユーザーから取得する LDAP 属性とユーザーセッションに追加される属性の間にマッピングを定義できます。Virtual DataPort 上の名前は Session Attribute 列で表され、LDAP 上の名前は Authentication Attribute で指定されます。
Global LDAP:ユーザーセッションには、「 Virtual DataPort サーバーに対するグローバル LDAP 認証の有効化 」に示す構成で定義した属性マッピングが含まれます。
Custom LDAP:Virtual DataPort は、このセクションで定義されているマッピングで使用される属性を、カスタム LDAP で検索します。
たとえば、LDAP ユーザーに department 属性がある場合、 user_department セッション属性へのマッピングを作成でき、このセッション属性は Virtual DataPort でユーザーセッションに追加されます。user_department 属性には、 GETVAR などの関数からアクセスできるほか、 グローバルセキュリティポリシー からユーザーのセッションの属性としてアクセスできます。
どのソースからもロールを取得しないように、Kerberos 認証を [No role extraction] オプションで構成できます。この構成は、LDAP サーバーの代わりに Virtual DataPort サーバーでロール割り当てを管理する場合に役立ちます (「 外部ユーザー 」のセクションを参照)。
注釈
LDAP ロールキャッシュ 機能により、Kerberos 認証を使用して Virtual DataPort にログインするユーザーを認証/認可するのにかかる時間が短縮される可能性があります。