SQL Anywhere データベースサーバを -krb または -kr オプションを使用して起動し、Kerberos 認証を有効にします。また、-kl オプションを使用して GSS-API ライブラリのロケーションを指定し、Kerberos を有効にすることもできます。

パブリックオプションまたは一時的なパブリックオプション login_mode を Kerberos を含む値に変更します。データベースオプションはそれらが見つかったデータベースにのみ適用されるので、複数のデータベースが同じデータベースサーバにロードされ実行されていても、データベースごとに異なる Kerberos ログイン設定を持たせることができます。次に例を示します。

SET OPTION PUBLIC.login_mode = 'Kerberos,Standard';

クライアントユーザのデータベースユーザ ID を作成します。既存のデータベースユーザに適切な権限があれば、そのデータベースユーザ ID を Kerberos ログインに使用できます。次に例を示します。

CREATE USER "kerberos-user"
IDENTIFIED BY abc123;

GRANT KERBEROS LOGIN TO 文を実行して、クライアントの Kerberos プリンシパルから既存のデータベースユーザ ID へのマッピングを作成します。次に例を示します。

GRANT KERBEROS LOGIN TO "pchin@MYREALM.COM" 
AS USER "kerberos-user";

使用されている Kerberos プリンシパルにマッピングがない場合に接続するには、Guest データベースユーザ ID が存在することと、パスワードがあることを確認します。

クライアントユーザが Kerberos プリンシパルを使用してログオン済みである (有効な Kerberos TGT：Ticket Granting Ticket がある) こと、およびクライアントの Kerberos チケットの期限が切れていないことを確認します。ドメインアカウントにログインしている Windows ユーザは、TGT をすでに持っており、プリンシパルに必要なパーミッションがあれば、サーバに認証されます。

チケット付与権限付きチケットはユーザパスワードを使用して暗号化された Kerberos チケットで、ユーザ ID の検証に Ticket Granting Service が使用します。

KERBEROS 接続パラメータ (通常は KERBEROS=YES、ただし KERBEROS=SSPI または KERBEROS=GSS-API-library-file も使用可) を指定して、クライアントから接続します。ユーザ ID またはパスワードの接続パラメータが指定された場合は、無視されます。次に例を示します。

dbisql -c "KERBEROS=YES;Server=my_server_princ"