クライアントとサーバーの両方に、Kerberos クライアントソフトウェアを GSS-API ランタイムライブラリも含めてインストールし、設定します。

Active Directory KDC を使用している Windows クライアントコンピューターでは SSPI を使用できるので、Kerberos クライアントをインストールする必要はありません。Windows で Kerberos ログインに SSPI を使用するを参照してください。

必要に応じて、Kerberos プリンシパルを各ユーザーの Kerberos キー配布センター (KDC) に作成します。

Kerberos プリンシパルとは Kerberos ユーザー ID であり、形式は user/instance@REALM です。/instance はオプションです。Kerberos をすでに使用している場合は、プリンシパルはすでに存在しているので、各ユーザーに Kerberos プリンシパルを作成する必要はありません。

プリンシパルの大文字と小文字は区別されるため、正しく指定する必要があります。大文字と小文字の違いしかない複数のプリンシパルのマッピングはサポートされていません (たとえば、jjordan@MYREALM.COM と JJordan@MYREALM.COM の両方にマッピングすることはできません)。

Kerberos プリンシパルを SQL Anywhere データベースサーバーの KDC に作成します。

データベースサーバー用の Kerberos プリンシパルの形式は server-name@REALM です。server-name は SQL Anywhere データベースサーバー名です。プリンシパルでは大文字と小文字が区別されます。また、server-name ではマルチバイト文字や /、\、@ は使用できません。以降の手順では、Kerberos プリンシパルが my_server_princ@MYREALM.COM であることを前提としています。

サーバーでは KDC 認証に keytab ファイルが使用されるので、KDC 内にサーバーサービスプリンシパルを作成する必要があります。keytab ファイルは保護および暗号化されます。

セキュリティに十分注意しながら、プリンシパル server-name@REALM 用の keytab ファイルを KDC から抽出し、SQL Anywhere データベースサーバーを実行中のコンピューターにコピーします。keytab ファイルのデフォルトロケーションは、Kerberos クライアントとプラットフォームによって異なります。keytab ファイルのパーミッションは、SQL Anywhere サーバーが読み取ることができ、不正なユーザーに読み取りパーミッションがないよう設定する必要があります。

Kerberos を使用するように SQL Anywhere を設定します。