統合 Windows 認証の構成

統合 Windows 認証を構成するには、Active Directory ドメイン コントローラー サーバー、AX Server、および各クライアント アプリケーションのエンド ユーザー用デスクトップ環境を設定します。

構成の概要

  1. 新しい Windows サービス プリンシパル名(SPN)アカウントを Active Directory に作成し、AX Server 認証サービスを Active Directory アカウントにマッピングします。ステップについては、SPN アカウントの作成を参照します。
  2. ktpass コマンドを使用して、AX Server 認証サービスを Active Directory SPN アカウントにマッピングします。ステップについては、認証サービスの SPN アカウントへのマッピングを参照してください。
  3. setspn コマンドを使用して、AX Connector サービスの SPN を登録します。ステップについては、AX Connector サービスの SPN を登録します。を参照してください。
  4. 省略可能。キータブ ファイルを AX Server インスタンスにコピーし、kinit コマンドを使って SPN アカウントのマッピングをテストします。ステップについては、SPN アカウント マッピングのテストを参照してください。
  5. エンドユーザーのデスクトップ環境ごとに、Internet Explorer から統合 Windows 認証を有効化します。ステップについては、Internet Explorer からの統合 Windows 認証の有効化を参照してください。

SPN アカウントの作成

  1. Active Directory Domain Controller サーバーで、[スタート > すべてのプログラム > 管理ツール > Active Directory ユーザーとコンピューター]の順に選択します。
  2. 新しい SPN アカウントを作成したいツリー ビューのドメイン エントリを右クリックし、[新規 > ユーザー]を選択します。
  3. 必要な情報を入力して、[次へ]をクリックします。
  4. ユーザー パスワードを構成し、[次べ]をクリックして、
    1. アカウント パスワードを入力します。
    2. 選択解除 次回のログオンでパスワードを変更する必要があります
    3. 選択 パスワードが期限切れになることはありません
  5. 完了]をクリックします。

認証サービスの SPN アカウントへのマッピング

  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、ktpass.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. 認証サービスを SPN アカウントにマッピングするには、次の keypass コマンドを入力します:
    ktpass /out ファイル名 /princ 名前 /pass パスワード /mapuser ローカルのユーザー名 /ptype プリンシパルの種類 /crypto 暗号化の種類

ktpass の構文については、Microsoft Ktpass リファレンスを参照してください。

ktpass /out "C:\ax.keytab" /princ HTTP/axserver.ax.com@AX.COM /pass password /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

AX Connector サービスの SPN を登録します。

  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、setspn.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. SPN を登録するには、次の setspn コマンドを入力します:
    setspn -A ACLSE/完全なドメイン名およびサーバー名 コンピューター名

    メモ

    ACLSE は、AX Connector を識別するために必要な値であり、すべてを大文字で入力する必要があります。コンピューター名の値は、name または domain\name の形式のいずれでも指定できます。

  3. 省略可能。SPN アカウントのマッピングを検証するには、次の setspn コマンドを使用します:
    setspn -L コンピューター名

setspn -A ACLSE/axserver.acl.com axserver

SPN アカウント マッピングのテスト

前提条件: 絶対パスを指定しないで klist コマンドを使用するために、パス環境変数に Java の bin サブフォルダーを追加します。

set PATH=java_bin_path;%PATH%
  1. Active Directory ドメイン コントローラー サーバーで、ktpass コマンドで作成した .keytab をコピーし、AX Server のWindows ディレクトリでこれを貼り付けます。
  2. AX Server の Windows ディレクトリで、krb5.ini という名のファイルを作成します。
  3. コマンド プロンプトから
    klist -k
    のコマンドを使用し、キータブ ファイルの読み込みが可能であることを検証します。
  4. 認証を試みるには、
    kinit username@REALM.COM
    のコマンドを使用します。
  5. ユーザーのパスワードを入力し、Enter キーを押します。

krb5.ini ファイルの例

 [libdefaults] ticket_lifetime = 24000 default_realm = <ドメイン> default_keytab_name = < キータブ ファイルのパス> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <ドメイン> = { kdc = < Active Directory ドメイン コントローラー サーバー.ドメイン.com>:88 } [domain_realm] <.ドメイン> = <ドメイン> <ドメイン> = <ドメイン> 

Internet Explorer からの統合 Windows 認証の有効化

  1. Microsoft Internet Explorer で[ツール > インターネット オプション > 詳細設定]の順にクリックします。
  2. セキュリティ]グループで、[統合 Windows 認証の有効化]をクリックした後、[適用]をクリックします。
  3. セキュリティ]タブをクリックします。
  4. ローカル イントラネット]アイコンをクリックした後、[サイト]をクリックします。
  5. ローカル イントラネット]ダイアログ ボックスで、[詳細設定]をクリックし、お使いの AX Server のHTTPS URLを入力して、[追加]をクリックします。

    例: https://axserver.ax.com

  6. 閉じる]をクリックし、[インターネット オプション]ダイアログ ボックスが閉じるまで、開いているダイアログ ボックスごとに[OK]をクリックします。

更新した設定は、次回 Internet Explorer を起動するときに有効になります。