認証の準備 Microsoft SQL Serverに接続するようにデータベースまたはKerberos認証方法を設定できます。
接続プロパティを設定する前に、使用する認証のタイプに基づいて認証の詳細を用意しておく必要があります。Kerberos認証では、特定の前提条件を設定する必要があります。
Kerberos認証の準備 必要な構成ファイルをSecure Agentマシンに配置することで、Kerberos認証を使用してMicrosoft SQL Serverデータベースに接続できます。また、Kerberos認証を使用して、SSL対応のMicrosoft SQL Serverデータベースに接続することもできます。
Microsoft SQL Serverに接続するようにKerberos認証を設定する場合は、次のガイドラインを考慮してください。
• ホステッドエージェントまたはサーバーレスランタイム環境は使用できません。• 使用するSecure AgentとデータベースサーバーがKDCサーバーに登録されていることを確認してください。• 資格情報キャッシュファイルを使用する場合は、次のガイドラインに従ってください。- Linuxでは、データ統合サーバーを再起動することなく、接続内で複数のKerberosプリンシパルユーザーの資格情報キャッシュファイルを使用できます。ただし、マッピング内で使用できるKerberosプリンシパルユーザーは1人だけです。- Windowsでは、接続内で使用できるKerberosプリンシパルユーザーは1人だけです。Kerberos認証の設定 Kerberos認証を使用してLinuxまたはWindows上のMicrosoft SQL Serverに接続する前に、組織管理者は前提条件のタスクを実行する必要があります。
1 Java Authentication and Authorization Service構成ファイル(JAAS)を設定するには、次のタスクを実行します。a Secure Agentマシン上にJAAS構成ファイルを作成します。b 以下のエントリをJAAS構成ファイルに追加します。JDBC_DRIVER_01 { com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true };
注: それぞれのキーと値のペアは別の行に指定してください。必要に応じて、指定された設定値の更新や設定詳細の追加を行うことができます。
2 krb5.conf ファイルを設定するには、次のタスクを実行します。a Secure Agentマシン上にkrb5.conf ファイルを作成します。b Key Distribution Center(KDC)と管理サーバーの詳細を、次の形式でkrb5.conf ファイルに追加します。[libdefaults] default_realm = <Realm name> forwardable = true ticket_lifetime = 24h [realms] <REALM NAME> = { kdc = <Location where KDC is installed> admin_server = <Location where KDC is installed> } [domain_realm] <domain name or host name> = <Domain name or host name of Kerberos> <domain name or host name> = <Domain name or host name of Kerberos>
注: キーと値のペアにユーザー固有の値を設定しないようにしてください。必要に応じて、指定された設定値の更新や設定詳細の追加を行うことができます。
3 Secure Agentマシン上で資格情報キャッシュファイルを生成するには、次の手順を実行します。a Secure Agentマシンで次のコマンドを実行し、Microsoft SQL Serverのユーザー名とレルム名を指定します。kinit <user name>@<realm_name>
b 要求されたら、Kerberosプリンシパルユーザーのパスワードを入力します。c 必要に応じて、Linux上のMicrosoft SQL Serverデータベースに接続する際に、次のコマンドを実行して、Secure Agentマシン上に指定されたディレクトリとファイル名を使用して資格情報キャッシュファイルを生成することができます。kinit -c <Directory and file name where you want to create the credential cache> <user name>@<realm_name>
4 Microsoft SQL Server接続において、[メタデータの詳細接続のプロパティ] フィールドにKRB5_CONFIG 、KRB5CCNAME 、およびJAASCONFIG プロパティを追加します。例えば、次の形式でプロパティを追加します。
KRB5_CONFIG=<Absolute path of the Kerberos configuration file>\krb5.conf;KRB5CCNAME=<Absolute path of the credential cache file>/<File name>;JAASCONFIG=<Absolute path of the JAAS config file>\<File name>.conf
注: キーと値のペアはそれぞれセミコロンで区切ってください。
5 Microsoft SQL Server接続の[メタデータの詳細接続のプロパティ] フィールドに、KRB5_CONFIG およびKRB5CCNAME プロパティを追加します。例えば、次の形式でプロパティを追加します。
KRB5_CONFIG=<Absolute path of the Kerberos configuration file>\krb5.conf;KRB5CCNAME=<Absolute path of the credential cache file>/<File name>
注: キーと値のペアはそれぞれセミコロンで区切ってください。
6 必要に応じて、Secure Agentマシン上で環境変数を設定します。注: 環境変数を設定した場合は、1つの接続で複数のKerberosプリンシパルユーザーを使用することができなくなります。
a 以下の環境変数を設定します。▪ setenv KRB5CCNAME <資格情報キャッシュファイルの絶対パスとファイル名> ▪ setenv KRB5_CONFIG <Kerberos構成ファイルの絶対パス>\krb5.conf ▪ setenv JAASCONFIG <JAAS構成ファイルの絶対パス>\<ファイル名>.conf b Secure Agentを再起動します。7 マッピングを実行するユーザーに、Secure Agent上のKerberos認証関連ファイルに対する読み取りアクセス権が割り当てられていることを確認してください。