- PR -

WeblogicとActive Directoryのシングルサインオン設定について

1
投稿者投稿内容
ちいよ
会議室デビュー日: 2006/03/08
投稿数: 15
投稿日時: 2006-03-08 20:41
WeblogicとActive Directoryのシングルサインオン設定を行っているのですが、うまく設定できません。どなたか、ご教示下さい。

<環境>
・Active Directory:VMwareのWin2000サーバ
・weblogicは同パソコンにインストールしています。


<設定>
http://edocs.beasys.co.jp/e-docs/wls/docs81/secmanage/sso.html#1101034
を参照して行っています。

・上記URLの「ネットワーク ドメインで Kerberos を使用するためのコンフィグレーション」より、krb5.iniファイルを作成しweblogicがインストールされているパソコンのC:\winnt配下に保存しました。(weblogicはC:\bea配下にインストールしています)

「質問」⇒Active Directoryにキー配布センター(krbtgt)があるのですが、上記内容と関係ありますでしょうか?現状AD上では無効となっています。


・weblogicのコンソールより、ADのユーザ/グループは参照可能です。

<問題/疑問>
・参照URLの「WebLogic Server 用の Kerberos ID の作成」3.より、
 setspn -a host/(WLSサーバのFQDN) (ADユーザ[WLSサーバ名]) 
 上記コマンドにて設定を行うと思うのですが、現状(WLSサーバのFQDN)部分にはWSL
 サーバのホスト名のみで設定しています。
 理由としましては、ADサーバからホスト名のみURL指定するとWeblogicコンソールが閲覧可能だからです。

・同参照URL、7.のコマンドで検証するとエラーとなります。
 ※このエラーが解決できれば、大丈夫なような気がするのですが。

・weblogicアプリケーション内で
weblogic.security.SubjectUtils.getUsername(weblogic.security.Security.getCurrentSubject());
 を記述していますが、この記載のみでクライアントPCからのログイン情報は取得可能ですか?

<経験値>
AD、weblogic共に最近始めましたのでわからないことばかりです。

どうかよろしく御願い致します。

[ メッセージ編集済み 編集者: yo-1 編集日時 2006-03-08 21:46 ]
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-03-10 21:30
引用:

yo-1さんの書き込み (2006-03-08 20:41) より:
WeblogicとActive Directoryのシングルサインオン設定を行っているのですが、うまく設定できません。どなたか、ご教示下さい。
<設定>
http://edocs.beasys.co.jp/e-docs/wls/docs81/secmanage/sso.html#1101034
を参照して行っています。


ぐはっ。これを何の「図」もなしに、設定手順だけでやろうと?
そりゃ無理だって。と思うのですが。
最低限
・統合Windows認証
・JAAS
・Kerberos
が分からないと、そもそも設定が終わったかどうか分からないでしょ。
ついでに
・AD
・WLS
があるんだから、、

引用:

setspn -a host/(WLSサーバのFQDN) (ADユーザ[WLSサーバ名]) 


その質問そのものが自分が何をしているか把握してないように見えます。
と言っても、私もsetspnが何するものか知りませんが。。

引用:

・weblogicアプリケーション内で
weblogic.security.SubjectUtils.getUsername(weblogic.security.Security.getCurrentSubject());
 を記述していますが、この記載のみでクライアントPCからのログイン情報は取得可能ですか?


正確にはクライアントPCからのログイン情報ではありませんが。
あくまでAD上のログオン情報です。だから論理的にはAD上のプリンシパル?の
属性が取れるのでは。

引用:

<経験値>
AD、weblogic共に最近始めましたのでわからないことばかりです。


えっとあまり関係ありません。おそらく。ADとweblogicは基盤として動いている
だけだからです。ADはKDC。weblogicは単にJAASモジュールを提供しているだけです。

IE->統合Windows認証(KDCログイン)->Weblogic(JAAS)->ASorTGT->AD(KDC)

かな。いい加減に書くと。結構KDCを使ってるので、それが分からないと
設定が出来たか出来ないかわからないかと。

あくまで「論理的には」です。私はWebLogicなど一回も触ったことがありません(苦笑)
おお、そういえばADも一回設定方法の教育受けただけだ。ほとんど知らないや。


ちいよ
会議室デビュー日: 2006/03/08
投稿数: 15
投稿日時: 2006-03-11 22:09
加納正和さん返答ありがとうございます。

>ぐはっ。これを何の「図」もなしに、設定手順だけでやろうと?
>そりゃ無理だって。と思うのですが。
手順はURLを参照してと言われ、
恥ずかしながら、ほぼ、設定手順のみでやっていました。

>最低限
>・統合Windows認証
>・JAAS
>・Kerberos
>が分からないと、そもそも設定が終わったかどうか分からないでしょ。
>ついでに
>・AD
>・WLS
>があるんだから、、
なるほど、ついでにADとWLSがあるわけで、
上3つを重視して理解する必要があるわけですね。
情けないのですが、手順通りで出来ると信じ続けてしました・・・・

>ADはKDC。weblogicは単にJAASモジュールを提供しているだけです。
知りませんでした。

>IE->統合Windows認証(KDCログイン)->Weblogic(JAAS)->ASorTGT->AD(KDC)
>
>かな。いい加減に書くと。結構KDCを使ってるので、それが分からないと
>設定が出来たか出来ないかわからないかと。
私にとってわかなり有力な情報です。。
もう少し指摘事項を理解した上で、質問を書きたいと思います。
ちいよ
会議室デビュー日: 2006/03/08
投稿数: 15
投稿日時: 2006-03-20 22:47
再度投稿致します。

上記、指摘事項を調査しつつ、再度設定を心見たところ。
「7.kinit ユーティリティを実行して Kerberos 認証が正しく機能するかどうかを検証します。」
上記、検証結果が旨くいきました。
一通り設定を終了し、
weblogicのwebアプリケーションにてweb.xml weblogic.xmlにもユーザ(ロール、プリンシパル)を設定しました。
アクティブディレクトリのドメインにユーザを参加させ、weblogicアプリケーションにアクセスし、アプリケーション内の

weblogic.security.SubjectUtils.getUsername(weblogic.security.Security.getCurrentSubject());

でログイン情報が取得できると思っていたのですが、webアプリケーションでログイン情報を取得できません。
デバック文では「anonymous」を出力しています。
私の感じでは、あと少しのところまできているような気がするのですが・・・

どなたか原因等で思い当たることがありましたら、ご教示ください。
どんな些細なことでも結構ですのでよろしく御願い致します。

[ メッセージ編集済み 編集者: yo-1 編集日時 2006-03-24 12:22 ]
1

スキルアップ/キャリアアップ(JOB@IT)