Windows™ サービスを Domino® 用に設定する
Web クライアント用の Windows™ シングルサインオンに Domino® サーバーを参加させる場合、Active Directory の管理者は Active Directory の setspn ユーティリティを使用して、1 つ以上のサーバー用サービスプリンシパル名 (SPN) を Active Directory アカウントに割り当てる必要があります。SPN は、サーバーの URL に指定されている www.renovations.com などの DNS 名に対応します。Web クライアントは、この URL を使用して Domino® サーバーに接続します。
このタスクについて
SPN は、Active Directory ドメインの Domino® サーバーを識別する名前の必須部分で、次の形式で記述します。
HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>
以下に例を示します。
HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM
SPN を割り当てると、Domino®に対して Kerberos サービスチケットの発行準備ができたことが、Windows™ Kerberos キー配布センター (KDC) に通知されます。この状態で、Web ユーザーの認証に使用される Kerberos サービスチケットを、Web ユーザーの代わりに Web ブラウザクライアントから Domino® に送信することができます。
Domino® サーバーとの接続に使用される URL 内の DNS 名ごとに、SPN を 1 つずつ割り当てる必要があります。以下の手順で、Windows™ シングルサインオン環境での Web ユーザーの認証プロセス中に SPN がどのように使用されるかについて説明します。
手順
-
Web ユーザーがブラウザに URL を入力して、Windows™ シングルサインオンに参加している Domino® サーバーに接続します。
たとえば、次の URL を入力します。
http://www.renovations.com/names.nsf
-
Web ブラウザは、この URL に含まれる DNS 名を抽出して SPN を作成します。
たとえば、次の SPN を作成します。
HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM
この場合の DNS 名は www.renovations.com です。
また、この Domino® サーバーマシンが属する Active Directory ドメインは AD.EAST.RENOVATIONS.COM です。
- Web ブラウザは、この Active Directory の SPN に対するサービスチケットを要求します。
- Web ブラウザは、受信したサービスチケットを Domino® サーバーに送信します。
- Domino® サーバーは、サービスチケットを受信してユーザーを認証します。
Windows™ サービスを Domino® サーバー用に設定する手順
手順
- SPN を割り当てる Active Directory アカウントを特定します。
- オプション: このアカウントに SPN を割り当てます。オプションで、Domino® に付属している domspnego.cmd ユーティリティを使用することもできます。
- このアカウントで、Domino® サーバーの Windows™ サービスにログオンできることを確認します。