4.5. Kerberos 認証の設定方法

4.5.1. ホワイトリストとブラックリストのサポート

Active Directory に Kerberos 認証を設定するには、次の手順に従ってください。

Kerberos 認証によって提供される機能を完全に利用できるようにするには、Active Directory に対して「書き込み」アクセス権を持つユーザーの証明書を入力する必要があります。このユーザー証明書は、ディレクトリからユーザー情報を読み込んだり、コンピュータエントリを削除したりするときに使用されます。

手順

Kerberos 認証を使用するには、Oracle VDI Manager でユーザーディレクトリを設定する前に、Active Directory サーバーおよび Oracle VDI ホストで特定の設定をいくつか指定する必要があります。

  1. Active Directory で Kerberos 認証を有効にします。

    デフォルトですでに有効になっているはずです。

  2. 各 Active Directory フォレストにグローバルカタログサーバーが存在する必要があります。

    各フォレストでドメインコントローラをグローバルカタログサーバーとして設定します。

  3. フォレストの機能レベルを設定します。

    ドメインコントローラが Microsoft Windows Server 2008 R2 上で実行されている場合は、フォレストの機能レベルをデフォルトで使用される値の Windows Server 2003 ではなく、Windows Server 2008 または Windows Server 2008 R2 に設定する必要があります。フォレストの機能レベルについては、Microsoft の資料を参照してください。

  4. Oracle VDI ホストと Active Directory サーバーの時刻を同期させます。

    すべてのホストの時計を同期させるには、時間情報プロトコル (NTP) ソフトウェアまたは rdate コマンドを使用します。

    たとえば、ntpdate my.windows.host を使用します。

    本稼働環境では、NTP 時間情報サーバーを使用することをお勧めします。

  5. Oracle VDI ホストのシステム標準の Kerberos 設定ファイルを編集します。

    システム標準の Kerberos 設定ファイルは、次のとおりです。

    • /etc/krb5/krb5.conf (Oracle Solaris OS プラットフォームの場合)

    • /etc/krb5.conf (Oracle Linux プラットフォームの場合)

    注意

    Kerberos 設定ファイルのレルム名の大文字使用は非常に重要であるため、例で示されているように大文字を使用するようにしてください。

    Kerberos 設定ファイルには、少なくとも次のセクションが含まれている必要があります。

    • [libdefaults] - Kerberos 認証のデフォルト値を設定します。default_realm を設定する必要があります。

    • [realms] - 各 Kerberos レルムの KDC を設定します。1 つのレルムに複数の kdc を設定できます。デフォルトのポート 88 を使用する場合はポートの指定を省略できます。

      エンドユーザーが自身のパスワードを更新 (「ユーザーパスワードの変更方法」) できるようにするには、Kerberos レルムごとに、パスワード変更を処理するサーバーの詳細情報を指定する必要があります。kpasswd_server エントリと admin_server エントリによって、パスワードの変更を処理する Kerberos 管理サーバーを特定します。kpasswd_server を省略した場合は、代わりに admin_server が使用されます。デフォルトのポート 464 を使用する場合は、ポートの指定を省略できます。

      レルム定義の書式は次のとおりです。

      REALM_NAME = {
      kdc = host:port
      kdc = host:port
      ...
      kpasswd_server = host:port
      admin_server = host:port
      kpasswd_protocol = SET_CHANGE
      }
      
    • [domain_realm] - Active Directory ドメインを Kerberos レルムにマップします。

      次に示すのは、単一ドメインのフォレストの Kerberos 設定ファイルの例です。

      [libdefaults]
      default_realm = MY.COMPANY.COM
      
      [realms]
      MY.COMPANY.COM = {
      kdc = my.windows.host
      admin_server = my.windows.host
      kpasswd_protocol = SET_CHANGE
      }
      
      [domain_realm]
      .my.company.com = MY.COMPANY.COM
      my.company.com = MY.COMPANY.COM
  6. getentnslookup、および kinit を使用して、Kerberos およびその名前解決の要件が適切に設定されていることを確認できます。

    次はその例です。

    • # getent hosts <my.windows.host> で IP アドレスとホスト名が返されることを確認してください

    • # getent hosts <IP_of_my.windows.host> で IP アドレスとホスト名が返されることを確認してください

    • # nslookup -query=any _gc._tcp.<my.company.com> でドメインが解決されることを確認してください

    • # kinit -V <super-user@MY.COMPANY.COM> が正常に実行されることを確認してください

  7. VDA サービスを再起動します。

    # /opt/SUNWvda/sbin/vda-service restart
  8. Oracle VDI Manager でユーザーディレクトリを設定します。

    1. Oracle VDI Manager で、「設定」 → 「会社」を選択します。

    2. 「会社」テーブルで「新規」をクリックして、新規会社ウィザードを起動します。

    3. Active Directory タイプを選択し、「次へ」をクリックします。

    4. Kerberos 認証」を選択します。

    5. Active Directory のドメインを入力します。

      例: my.company.com

    6. Active Directory への書き込みに十分な特権を持っているユーザーのユーザー主体名を入力します。

      例: super-user または super-user@my.company.com

    7. そのユーザーのパスワードを入力します。

    8. 次へ」をクリックして指定した内容を確認したあと、設定を完了します。

Kerberos 認証について

Kerberos 認証については、次を参照してください。

4.5.1. ホワイトリストとブラックリストのサポート

Oracle VDI では、Kerberos 認証に対してホワイトリストおよびブラックリスト機能がサポートされています。この機能は、会社名に対して指定可能なホスト名リストの省略可能なセットであり、Oracle VDI によってクエリーされる Active Directory サーバーをより詳細に管理できます。

ディレクトリホワイトリストは、LDAP クエリーで常に使用される、コンマ区切りの Active Directory グローバルカタログサーバーのリストです。ホワイトリストでのサーバーの順序は重要です。Oracle VDI は、リスト内の最初のサーバーに問い合わせできない場合、次のサーバーに問い合わせようとします。ディレクトリブラックリストは、LDAP クエリーで使用されることはない、コンマ区切りの Active Directory グローバルカタログサーバーのリストです。ブラックリスト設定はホワイトリスト設定よりも優先されます。

この機能は、CLI でのみ有効にすることができます。