Windows サービスを Domino® 用に設定する

Web クライアント用の Windows シングルサインオンに Domino® サーバーを参加させる場合、Active Directory の管理者は Active Directory の setspn ユーティリティを使用して、1 つ以上のサーバー用サービスプリンシパル名 (SPN) を Active Directory アカウントに割り当てる必要があります。SPN は、サーバーの URL に指定されている www.renovations.com などの DNS 名に対応します。Web クライアントは、この URL を使用して Domino® サーバーに接続します。

このタスクについて

SPN は、Active Directory ドメインの Domino® サーバーを識別する名前の必須部分で、次の形式で記述します。

HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>

例:

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

SPN を割り当てると、Domino®に対して Kerberos サービスチケットの発行準備ができたことが、Windows Kerberos キー配布センター (KDC) に通知されます。この状態で、Web ユーザーの認証に使用される Kerberos サービスチケットを、Web ユーザーの代わりに Web ブラウザクライアントから Domino® に送信することができます。

Domino® サーバーとの接続に使用される URL 内の DNS 名ごとに、SPN を 1 つずつ割り当てる必要があります。以下の手順で、Windows シングルサインオン環境での Web ユーザーの認証プロセス中に SPN がどのように使用されるかについて説明します。

手順

  1. Web ユーザーがブラウザに URL を入力して、Windows シングルサインオンに参加している Domino® サーバーに接続します。

    たとえば、次の URL を入力します。 

    http://www.renovations.com/names.nsf
  2. Web ブラウザは、この URL に含まれる DNS 名を抽出して SPN を作成します。

    たとえば、次の SPN を作成します。

    HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

    この場合の DNS 名は www.renovations.com です。

    また、この Domino® サーバーマシンが属する Active Directory ドメインは AD.EAST.RENOVATIONS.COM です。

  3. Web ブラウザは、この Active Directory の SPN に対するサービスチケットを要求します。
  4. Web ブラウザは、受信したサービスチケットを Domino® サーバーに送信します。
  5. Domino® サーバーは、サービスチケットを受信してユーザーを認証します。

Windows サービスを Domino® サーバー用に設定する手順

手順

  1. SPN を割り当てる Active Directory アカウントを特定します。
  2. オプション: このアカウントに SPN を割り当てます。オプションで、Domino® に付属している domspnego.cmd ユーティリティを使用することもできます。
  3. このアカウントで、Domino® サーバーの Windows サービスにログオンできることを確認します。