Kerberos 認証を使用するように Administration Tool を構成する

Virtual DataPort サーバーと、Kerberos を使用してログインするすべてのクライアントで、Kerberos 認証を構成する必要があります。

ここでは、Kerberos 認証を使用するように Administration Tool を構成する方法について説明します。

JDBC クライアントに対して Kerberos を有効にする場合は、『開発者ガイド』の「 Kerberos 認証を使用した Virtual DataPort へのコネクション 」のセクションを参照してください。

ODBC クライアントに対して Kerberos を有効にするには、ODBC クライアントからアクセスするデータベースで Kerberos 認証を有効にします。その方法については、「 データベースの作成 」を参照してください。

Web サービスの認証 」には、Virtual DataPort によって公開された Web サービスでの Kerberos 認証に関する情報が記載されています。


Administration Tool を構成するには、[Tools] メニュー > [Admin Tool preferences] をクリックします。

Setting up Kerberos authentication in the Administration Tool

Administration Tool での Kerberos 認証の設定

ウィザードで以下の情報を指定します。

  1. [Kerberos authentication] を選択します。今後この Administration Tool で、データベースに構成されている認証を使用する場合は、[Standard authentication] を選択します。

    「Standard authentication」を選択すると、Virtual DataPort が提供する他の認証方法を使用することになります。つまり、Virtual DataPort で作成されたユーザーの資格情報を指定する必要があります。また LDAP 認証を使用してデータベースに接続している場合は、このデータベースに対して選択された LDAP ディレクトリ内のユーザーの資格情報を指定する必要があります。

  2. この Administration Tool が実行されているホストが Kerberos レルム (Windows Active Directory ドメインなど) に属していないか、サーバーが使用するドメインとは異なるドメインの場合を除き、[Kerberos configuration file] ボックスを空にしておきます。必要に応じて [Browse] をクリックし、ファイル krb5.conf または krb5.ini へのパスを選択します。

  3. 次の認証モードを選択します。

    1. Use Single Sign-On with system ticket cache: このオプションを使用すると、この Administration Tool を起動するときに、資格情報を入力する必要がありません。代わりに Administration Tool がオペレーティングシステムのチケットキャッシュから Kerberos チケットを取得します。次に [Server URI] ボックスで構成されたデフォルトデータベースに Administration Tool が自動的に接続します。

    2. Use user/password (1番目のオプションを使用できない場合にお勧めします): ユーザーはログイン時に資格情報を提供する必要があります。Administration Tool は Active Directory に接続してユーザーの代わりに Kerberos チケットをリクエストし、そのチケットを使用して認証します。

    3. Use ticket cache: オペレーティングシステムのものではなく、ユーザー自身のチケットキャッシュを使用する場合は、このオプションを選択します。

      このオプションではなく Use user/password オプションを使用することをお勧めします。このオプションの場合、Administration Tool がチケットキャッシュの Kerberos チケットを更新できる期間に制限があるからです。通常は 1 週間を過ぎると、これらのチケットを更新できなくなるため、再度取得する必要があります。

      このオプションを使用するには、Administration Tool を開始する前に、以下のコマンドを実行して Kerberos チケット保証チケット (TGT) を手動でリクエストする必要があります。

      <DENODO_HOME>\jre\bin\kinit.exe -f -c "<DENODO_HOME>\conf\vdp-admin\ticket_cache"
      

      チケットの有効期限が切れたときにも、このコマンドを実行する必要があります。

      オプション -f は Active Directory に「forwardable」チケットを返すようリクエストします。「forwardable」チケットを他のアプリケーション (ここでは Virtual DataPort サーバー) で使用して、ユーザーの代わりにサービスチケットをリクエストすることができます。これらのサービスチケットは、Virtual DataPort クライアント (つまり、Administration Tool、JDBC クライアント、ODBC クライアント) の代わりに他のサービス (たとえば、データベース) に対して Kerberos リクエストを実行するために使用されます。

      クライアントが使用するチケットが転送可能でない場合、「pass-through session credentials」オプションが有効になっているデータソースを使用するリクエストは失敗します。

      1. チケットキャッシュファイルを作成したら、[Ticket cache file] ボックスにこのファイルへのパスを入力します。

      2. チケットキャッシュに複数のユーザーまたはドメインの「チケット保証チケット」が含まれている場合は、認証に使用するユーザー名を [Principal] ボックスに入力します。

      3. [Renew TGT] を選択すると、チケットの有効期限が切れていても、更新期間内であれば、新しいチケットが取得されます。更新期間は Active Directory で構成されます。

      この認証方法を使用していて、別の方法に変更する場合は、チケットキャッシュファイルを削除します。

    4. Use keytab: このオプションの使用はお勧めしません。この方法は、通常は正規ユーザーではなく、サーバーによって使用されるものだからです。keytab に複数のユーザーのエントリが含まれている場合は、 Principal を入力することだけで済みます。

  1. Kerberos を初めて設定する場合は、問題が生じた場合に備えて [Activate Kerberos debug mode] チェックボックスをチェックすることをお勧めします。Kerberos の設定が完了したら、これを無効にします。

    Kerberos デバッグメッセージを取得するには、Denodo サーバーでではなく、Administration Tool のインストール時に、 <DENODO_HOME>/conf/vdp-admin/log4j2.xml ファイルを開き、 <Loggers> 行の に次の行を追加します。

    <Logger name="com.denodo.util.logging.JavaConsoleLogging" level="debug" />
    

    Administration Tool を再起動して、このファイルに変更を適用します。

    Kerberos デバッグメッセージは、 ローカルファイル <DENODO_HOME>/logs/vdp-admin/vdp-admin.log にあります。

  2. このホストの Use Single Sign-On with system ticket cacheUse ticket cache 、または Use keytab のいずれかの認証モードを選択した場合、Administration Tool は、次に起動されたとき、 Server URI で指定されているサーバーに自動的にログインします。