OpenAMを使ってみる(2)

投稿者: | 2014年2月5日

前回の記事に引き続き

今回は、DesktopSSOが出来るところまでやってみる。
スクリーンショット取るよりスクリーンキャプチャの方が楽だったので途中まで作ってみた。

  • 前提条件
    • OpenAMが動いているマシンのDNSサーバはActiveDirectory配下のDNSサーバであること
    • OpenAMのホスト名
      • openam.lan.tatsuya.info
    • ADドメイン名
      • lan.tatsuya.info
    • ドメインコントローラのホスト名
      • dc01.lan.tatsuya.info
    • OpenAMとADを連携させるためのユーザをAD上に作成しておく
      • ユーザ名:openamsso
      • パスワード:Password1234

キータブファイルの作成

以下のコマンドを、ドメインコントローラ上のコマンドプロンプトで実行し、キータブファイルを作成します。
このファイルはあとで、OpenAMが必要とするので、OpenAMが動いているマシンに移動しておきます。

<br />
ktpass.exe -out keytab -pass Password1234 -mapuser openamsso \<br />
-princ HTTP/openam.lan.tatsuya.info@LAN.TATSUYA.INFO \<br />
-ptype KRB5_NT_PRINCIPAL -target LAN.TATSUYA.INFO -kvno 0 -crypto RC4-HMAC-NT<br />

OpenAMの設定

  1. OpenAMにamadminとしてログイン
  2. 「アクセス制御」タブを開く
  3. 「/(最上位のレルム)」を開く
  4. 「認証」タブを開く
  5. 「モジュールインスタンス」から「新規」を開く
  6. 「名前」は「DesktopSSO」とし、「タイプ」から「WindowsデスクトップSSO」を選び、「了解」をクリック
  7. 再び「モジュールインスタンス」から先ほど作成した「DesktopSSO」を開く
  8. 以下のパラメータを設定し、「保存」をクリック
    • サービス主体:HTTP/openam.lan.tatsuya.info@LAN.TATSUYA.INFO
    • Keytabファイル名:先ほど生成したキータブファイルを置いた場所をフルパスで
    • Kerberos レルム:LAN.TATSUYA.INFO
    • Kerberos サーバー名:dc01.lan.tatsuya.info
    • ドメイン名を含む主体を返す:認証時に利用するユーザ名を foobar にするか foobar@LAN.TATSUYA.INFO にするか
  9. 「認証連鎖」から「新規」を開く
  10. 「名前」は「SSO」とし、「了解」をクリック
  11. 「追加」をクリックし、以下のパラメータを設定し、「保存」をクリック
  12. 「コア」の「組織認証設定」を「SSO」に変更し、「保存」をクリック
  13. 「対象」タブを開く
  14. ユーザの「新規」をクリックし、以下のパラメタを設定し、「了解」をクリック
    • ID:AD上のユーザ名
      ドメイン名を含む主体を返すにチェックを付けた場合は完全修飾で
    • 性:foobar
    • フルネーム:foobar
    • パスワード・パスワード(確認):password
      デスクトップSSOを利用するだけなら、このパスワードは使いません。

ここまでの設定で、デスクトップSSOが動作するはずです。

ゾーンがイントラネットになるURLでOpenAMにアクセスすると、自動的に認証され、ユーザ情報が編集出来る画面が表示されます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください