Apache Tomcat 10

これらの手順では、サーバーがすでにドメインコントローラーとして機能するように構成されていることを前提としています。Windowsサーバーをドメインコントローラーとして構成することは、このハウツーの範囲外です。TomcatがWindows認証をサポートできるようにドメインコントローラーを構成する手順は次のとおりです。

• Tomcatサーバーで使用されるサービス名にマッピングされるドメインユーザーを作成します。このハウツーでは、このユーザーはtc01と呼ばれ、パスワードはtc01passです。
• サービスプリンシパル名（SPN）をユーザーアカウントにマッピングします。SPNは <サービスクラス>/<ホスト>:<ポート>/<サービス名>の形式を取ります。このハウツーで使用されるSPNはHTTP/win-tc01.dev.localです。ユーザーをSPNにマッピングするには、以下を実行します。

  setspn -A HTTP/win-tc01.dev.local tc01

• ドメインコントローラーに対して自身を認証するためにTomcatサーバーが使用するkeytabファイルを生成します。このファイルには、サービスプロバイダーアカウントのTomcat秘密鍵が含まれており、それに応じて保護する必要があります。ファイルを生成するには、次のコマンドを実行します（すべて1行）。

  ktpass /out c:\tomcat.keytab /mapuser tc01@DEV.LOCAL
            /princ HTTP/win-tc01.dev.local@DEV.LOCAL
            /pass tc01pass /kvno 0

• クライアントで使用するドメインユーザーを作成します。このハウツーでは、ドメインユーザーはtestで、パスワードはtestpassです。

上記の手順は、フォレストとドメインの両方にWindows Server 2016の機能レベルを使用するWindows Server 2019 Standardを実行するドメインコントローラーでテストされています。

これらの手順では、TomcatとJava 11 JDK/JREがすでにインストールおよび構成されており、Tomcatがtc01@dev.localユーザーとして実行されていることを前提としています。Windows認証用にTomcatインスタンスを構成する手順は次のとおりです。

• ドメインコントローラーで作成したtomcat.keytabファイルを$CATALINA_BASE/conf/tomcat.keytabにコピーします。
• Kerberos構成ファイル$CATALINA_BASE/conf/krb5.iniを作成します。このハウツーで使用したファイルには、次が含まれていました。

  [libdefaults]
  default_realm = DEV.LOCAL
  default_keytab_name = FILE:c:\apache-tomcat-10.1.x\conf\tomcat.keytab
  default_tkt_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
  default_tgs_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
  forwardable=true
  
  [realms]
  DEV.LOCAL = {
          kdc = win-dc01.dev.local:88
  }
  
  [domain_realm]
  dev.local= DEV.LOCAL
  .dev.local= DEV.LOCAL

  このファイルの場所は、java.security.krb5.confシステムプロパティを設定することで変更できます。
• JAASログイン構成ファイル$CATALINA_BASE/conf/jaas.confを作成します。このハウツーで使用したファイルには、次が含まれていました。

  com.sun.security.jgss.krb5.initiate {
      com.sun.security.auth.module.Krb5LoginModule required
      doNotPrompt=true
      principal="HTTP/win-tc01.dev.local@DEV.LOCAL"
      useKeyTab=true
      keyTab="c:/apache-tomcat-10.1.x/conf/tomcat.keytab"
      storeKey=true;
  };
  
  com.sun.security.jgss.krb5.accept {
      com.sun.security.auth.module.Krb5LoginModule required
      doNotPrompt=true
      principal="HTTP/win-tc01.dev.local@DEV.LOCAL"
      useKeyTab=true
      keyTab="c:/apache-tomcat-10.1.x/conf/tomcat.keytab"
      storeKey=true;
  };

  このファイルの場所は、java.security.auth.login.configシステムプロパティを設定することで変更できます。使用されるLoginModuleはJVM固有のものなので、指定したLoginModuleが使用されているJVMと一致していることを確認してください。ログイン構成の名前は、認証バルブで使用される値と一致する必要があります。

SPNEGO認証は、任意のレルムで動作しますが、JNDIレルムで使用する場合、デフォルトではJNDIレルムはユーザーの委任された資格情報を使用してActive Directoryに接続します。認証されたユーザー名のみが必要な場合は、役割を持たない認証されたユーザー名に基づいてプリンシパルを返すAuthenticatedUserRealmを使用できます。

上記の手順は、AdoptOpenJDK 8u232-b09 (64-bit)でWindows Server 2019 Standardを実行するTomcatサーバーでテストされています。

これは、以下でテストされました。

• Java 1.7.0、update 45、64-bit
• Ubuntu Server 12.04.3 LTS 64-bit
• Tomcat 8.0.x (r1546570)

最新の安定リリースを使用することをお勧めしますが、どのTomcatリリースでも動作するはずです。

構成はWindowsの場合と同じですが、次の変更があります。

• LinuxサーバーはWindowsドメインの一部である必要はありません。
• krb5.iniおよびjaas.conf内のkeytabファイルへのパスは、Linuxスタイルのファイルパスを使用してLinuxサーバー上のkeytabファイルへのパスを反映するように更新する必要があります（例：/usr/local/tomcat/…）。

Webアプリケーションは、web.xmlで、BASICなどではなく、Tomcat固有のSPNEGO認証方法を使用するように構成する必要があります。他の認証と同様に、認証バルブを明示的に構成し、バルブに属性を設定することで動作をカスタマイズできます。

クライアントは、Kerberos認証を使用するように構成する必要があります。Internet Explorerの場合、これはTomcatインスタンスが「ローカルイントラネット」セキュリティドメインにあり、（ツール>インターネットオプション>詳細）で統合Windows認証が有効になっていることを確認することを意味します。クライアントとTomcatインスタンスに同じマシンを使用すると、Internet ExplorerはサポートされていないNTLMプロトコルを使用するため、これは**機能しない**ことに注意してください。

Kerberos認証の正しい構成は難しい場合があります。以下の参考文献が役立つ場合があります。アドバイスは、Tomcatユーザーメーリングリストでもいつでも入手できます。

1. IISとKerberos
2. SourceForgeのSPNEGOプロジェクト
3. Oracle Java GSS-APIチュートリアル (Java 7)
4. Oracle Java GSS-APIチュートリアル - トラブルシューティング (Java 7)
5. Windows認証用のGeronimo構成
6. Kerberos交換での暗号化の選択
7. サポートされているKerberos暗号スイート

このソリューションの詳細は、Waffle Webサイトで確認できます。主な機能は次のとおりです。

• ドロップインソリューション
• シンプルな構成（JAASまたはKerberos keytab構成は不要）
• ネイティブライブラリを使用

このソリューションの詳細は、Kerberos拡張機能Webサイトで確認できます。主な機能は次のとおりです。

• Spring Securityの拡張機能
• Kerberos keytabファイルを生成する必要がある
• 純粋なJavaソリューション

このソリューションの詳細は、プロジェクトWebサイトで確認できます。主な機能は次のとおりです。

• 純粋なJavaソリューション
• 高度なActive Directory統合

このソリューションの詳細については、プロジェクトサイトをご覧ください。主な機能は以下のとおりです。

• 純粋なJavaソリューション
• SPNEGO/Kerberos 認証
• Active Directory レルム

IIS を Windows 認証を提供するように設定するには、以下の3つのステップがあります。

1. IIS を Tomcat のリバースプロキシとして設定します（IIS Webサーバーハウツーを参照）。
2. IIS が Windows 認証を使用するように設定します。
3. AJPコネクタの `tomcatAuthentication` 属性を `false` に設定することで、IIS からの認証ユーザー情報を Tomcat が使用するように設定します。あるいは、`tomcatAuthorization` 属性を `true` に設定することで、IIS で認証を行い、Tomcat で認可を実行できるようにします。

Apache httpd は、標準では Windows 認証をサポートしていませんが、使用できるサードパーティ製モジュールがいくつかあります。それには以下が含まれます。

1. Windows プラットフォームで使用するためのmod_auth_sspi。
2. 非 Windows プラットフォーム向けのmod_auth_ntlm_winbind。32 ビットプラットフォームの httpd 2.0.x で動作することが確認されています。一部のユーザーからは、httpd 2.2.x ビルドと 64 ビット Linux ビルドの両方で安定性の問題が報告されています。

httpd を Windows 認証を提供するように設定するには、以下の3つのステップがあります。

1. httpd を Tomcat のリバースプロキシとして設定します（Apache httpd Webサーバーハウツーを参照）。
2. httpd が Windows 認証を使用するように設定します。
3. AJPコネクタの `tomcatAuthentication` 属性を `false` に設定することで、httpd からの認証ユーザー情報を Tomcat が使用するように設定します。