クライアントとサーバの両方に、Kerberos クライアント・ソフトウェアを GSS-API ランタイム・ライブラリも含めてインストールし、設定します。
Active Directory KDC を使用している Windows クライアント・コンピュータでは SSPI を使用できるので、Kerberos クライアントをインストールする必要はありません。Windows で Kerberos ログインに SSPI を使用するを参照してください。
必要に応じて、Kerberos プリンシパルを各ユーザの Kerberos キー配布センター (KDC:Key Distribution Center) に作成します。
Kerberos プリンシパルとは Kerberos ユーザ ID であり、形式は user/instance@REALM です。/instance はオプションです。Kerberos をすでに使用している場合は、プリンシパルはすでに存在しているので、各ユーザに Kerberos プリンシパルを作成する必要はありません。
プリンシパルの大文字と小文字は区別されるため、正しく指定する必要があります。大文字と小文字の違いしかない複数のプリンシパルのマッピングはサポートされていません (たとえば、jjordan@MYREALM.COM と JJordan@MYREALM.COM の両方にマッピングすることはできません)。
Kerberos プリンシパルを SQL Anywhere データベース・サーバの KDC に作成します。
データベース・サーバ用の Kerberos プリンシパルの形式は server-name@REALM です。server-name は SQL Anywhere データベース・サーバ名です。プリンシパルでは大文字と小文字が区別されます。また、server-name ではマルチバイト文字や /、\、@ は使用できません。以降の手順では、Kerberos プリンシパルが my_server_princ@MYREALM.COM であることを前提としています。
サーバでは KDC 認証に keytab ファイルが使用されるので、KDC 内にサーバ・サービス・プリンシパルを作成する必要があります。keytab ファイルは保護および暗号化されます。
セキュリティに十分注意しながら、プリンシパル server-name@REALM 用の keytab ファイルを KDC から抽出し、SQL Anywhere データベース・サーバを実行中のコンピュータにコピーします。keytab ファイルのデフォルト・ロケーションは、Kerberos クライアントとプラットフォームによって異なります。keytab ファイルのパーミッションは、SQL Anywhere サーバが読み取ることができ、不正なユーザに読み取りパーミッションがないよう設定する必要があります。
Kerberos を使用するように SQL Anywhere を設定します。
| Copyright © 2009, iAnywhere Solutions, Inc. - SQL Anywhere 11.0.1 |