保護

Windows サービスを Domino 用に設定する
Web クライアント用の Windows™ シングルサインオンに Domino サーバーを参加させる場合、Active Directory の管理者は Active Directory の setspn ユーティリティを使用して、1 つ以上のサーバー用サービスプリンシパル名 (SPN) を Active Directory アカウントに割り当てる必要があります。SPN は、サーバーの URL に指定されている www.renovations.com などの DNS 名に対応します。Web クライアントは、この URL を使用して Domino サーバーに接続します。

このタスクについて

SPN は、Active Directory ドメインの Domino サーバーを識別する名前の必須部分で、次の形式で記述します。

HTTP/<DNS_name>@<Active_Directory_Kerberos_realm>

次に例を示します。

HTTP/www.renovations.com@AD.EAST.RENOVATIONS.COM

SPN を割り当てると、Domino に対して Kerberos サービスチケットの発行準備ができたことが、Windows Kerberos キー配布センター (KDC) に通知されます。この状態で、Web ユーザーの認証に使用される Kerberos サービスチケットを、Web ユーザーの代わりに Web ブラウザクライアントから Domino に送信することができます。

Domino サーバーとの接続に使用される URL 内の DNS 名ごとに、SPN を 1 つずつ割り当てる必要があ7ます。以下の手順で、Windows シングルサインオン環境での Web ユーザーの認証プロセス中に SPN がどのように使用されるかについて説明します。

手順

1. Web ユーザーがブラウザに URL を入力して、Windows シングルサインオンに参加している Domino サーバーに接続します。


2. Web ブラウザは、この URL に含まれる DNS 名を抽出して SPN を作成します。
3. Web ブラウザは、この Active Directory の SPN に対するサービスチケットを要求します。

4. Web ブラウザは、受信したサービスチケットを Domino サーバーに送信します。

5. Domino サーバーは、サービスチケットを受信してユーザーを認証します。

Windows サービスを Domino サーバー用に設定する手順

手順

1. SPN を割り当てる Active Directory アカウントを特定します。

2. オプション: このアカウントに SPN を割り当てます。オプションで、Domino に付属している domspnego.cmd ユーティリティを使用することもできます。

3. このアカウントで、 Domino サーバーの Windows サービスにログオンできることを確認します。

関連概念
domspnego ユーティリティを使用して SPN を割り当てる
domspnego ユーティリティを使用せずに SPN を割り当てる

関連タスク
SPN を割り当てる Active Directory アカウントを特定する
正しいアカウントで Domino サーバーにログオンできることを確認する
Web クライアント用の Windows シングルサインオンを設定する

関連資料
アカウントの選択と SPN の例

関連情報
Web クライアント用の Windows シングルサインオンに関するトラブルシューティング (SPNEGO)