Active Directory ドメインにおける SPNEGO を使用したシングル・サインオンの実装
Active Directory ドメインでシングル・サインオンを実装する際に、Simple and Protected GSS-API Negotiation (SPNEGO) 機構を使用することができます。
始める前に
この作業を行うには、ネットワーク上に次の要素が必要です。
- Active Directory ドメイン
- ディレクトリー・サーバーのホスト名
- Kerberos 鍵配布センター (KDC) のホスト名
- Active Directory ドメインのホスト上の Build Forge インストール済み環境
- Active Directory ドメイン上のクライアント・ホスト
- 各クライアント上の Kerberos 構成ファイル
- ディレクトリー・サーバー・ホストにインストールされた Windows Server 2003 SP2 リソース・ツールキット
- サポートされている Web ブラウザー注: SPNEGO を使用する場合には、Internet Explorer 6 はサポートされません。サポートされているブラウザーを使用してください。
以下の手順にはいくつかの例が含まれており、次のようにセットアップされています。
- mycompany.com は、ドメインのすべてのホストが使用する TCP/IP ドメインの名前です。
- ITDEV.COM は、Active Directory ドメインの名前です。
- it_directory.mycompany.com は、ディレクトリー・サーバーが稼働しているホストです。 ここでは、Kerberos KDC も稼働しています。
- it_domain.mycompany.com は、Active Directory ドメイン・コントローラーが稼働しているホストです。
- it_buildforge.mycompany.com は、Build Forge がインストールされているホストです。
- bfuser は、Build Forge システムのドメイン・ユーザー名です。
- happy_user は、ドメイン・ユーザー名です。例えば Web ブラウザーで SSO を使用して Build Forge にアクセスするユーザーなどです。
このタスクについて
注: SPNEGO インターセプターは、Active Directory 以外の KDC で使用できます。
手順
- Active Directory のユーザーとサービス・プリンシパルをセットアップします。
- Kerberos ファイルをセットアップします。
- Build Forge で Active Directory と SPNEGO が使用されるように構成します。
- セキュアなアクセスができるように、ブラウザー・クライアントを構成します。
- SSO を使用して Build Forge にアクセスします。
Active Directory ユーザーとサービス・プリンシパルのセットアップ
Build Forge サーバーと Build Forge クライアントを、Active Directory ドメインにセットアップする必要があります。
始める前に
このタスクについて
手順
Kerberos 認証用のファイルのセットアップ
スタートアップ・ファイル (Kerberos クライアント構成ファイル) および keytab ファイルを、Build Forge ホスト上にセットアップする必要があります。
手順
Build Forge で Active Directory と SPNEGO が使用されるための構成
手順
SSO に対応したクライアント・ブラウザーの構成
クライアント・ブラウザーで、セキュリティー設定に SPNEGO が使用されるようにセットアップする必要があります。
このタスクについて
手順
SSO を使用した Build Forge へのアクセス
サーバー URL を入力して、SSO を使用したログインをテストします。
手順
- ユーザーの Active Directory リストにあるユーザー名を使用して、Active Directory ドメインにあるホストにログインします。
- ブラウザーを開きます。
- Build Forge サーバー・ホストの URL を入力します。 サンプルの構成では、これは http://it_buildforge.mycompany.com です。 SSO が正しく設定されていると、Build Forge 管理コンソールが表示されます。
- Build Forge コンソールの右上に表示されているユーザー名が、クライアントの Windows ログイン名と一致していることを確認します。