Active Directory 統合の設定ファイルの作成
Active Directory のドメイン構造とサーバーの場所に関する情報を
Symantec Data Loss Prevention
に提供する krb5.ini
(または Linux では krb5.conf
) 設定ファイルを作成する必要があります。この手順は複数の Active Directory ドメインがある場合に必要です。ただし、Active Directory の構造に 1 つのドメインのみが含まれている場合でも、このファイルを作成することを推奨します。kinit ユーティリティは Symantec Data Loss Prevention
が Active Directory サーバーと通信できることを確認するためにこのファイルを使います。Linux で
Symantec Data Loss Prevention
を実行している場合は、kinit ユーティリティを使用して Active Directory 接続を検証します。krb5.ini
ファイルの名前を krb5.conf
に変更する必要があります。kinit ユーティリティでは、Linux 上でファイルの名前を krb5.conf
にする必要があります。Symantec Data Loss Prevention
は Active Directory 接続を検証するために kinit が使われていることを想定し、ファイルの名前を krb5.conf
に変更するように指示します。Symantec Data Loss Prevention
には、ユーザー固有のシステムで使うために修正できる、krb5.ini
のサンプルファイルが用意されています。サンプル ファイルは、Protect\config
(Windows では \Program Files\Symantec\DataLossPrevention\EnforceServer\
、Linux では 16.0.10000
\Protect\config/opt/Symantec/DataLossPrevention/EnforceServer/
など) にあります。Linux で 16.0.10000
/Protect/configSymantec Data Loss Prevention
を実行している場合は、ファイルの名前を krb5.conf
に変更することを推奨します。サンプルファイルは、次のように 2 つのセクションに分かれています。[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
[libdefaults]
セクションでは、デフォルトのドメインを識別します。(Kerberos レルムは Active Directory ドメインに対応しています。) [レルム]
セクションで、各ドメインの Active Directory サーバを定義します。前述の例では、ENG.COMPANY.COM のための Active Directory サーバーは engAD.eng
.company.com です。- krb5.ini または krb5.conf ファイルを作成するには
- に移動して、SymantecDLP\Protect\configkrb5.iniサンプルファイルを探します。たとえば、ファイルは\Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config(Windows) または/opt/Symantec/DataLossPrevention/EnforceServer/(Linux) にあります。16.0.10000/Protect/config
- krb5.iniのサンプルファイルを、c:\windows ディレクトリ (Windows 上) または /etc ディレクトリ (Linux 上) にコピーします。Linux でSymantec Data Loss Preventionを実行している場合は、kinit コマンドラインツールを使用して Active Directory 接続を検証します。ファイルの名前をkrb5.confに変更します。
- テキストエディタで、krb5.iniまたはkrb5.confファイルを開きます。
- サンプルのdefault_realm値を、デフォルトドメインの完全修飾名に置き換えます。(default_realmの値はすべて大文字にする必要があります。)たとえば、以下のように値を変更します。default_realm = MYDOMAIN.LAB
- 他のサンプルドメイン名を、実際のドメインの名前に置き換えます。(ドメイン名はすべて大文字にする必要があります。)たとえば、ENG.COMPANY.COMをADOMAIN.COMPANY.COMに置き換えます。
- サンプルのkdc値を、Active Directory サーバーのホスト名または IP アドレスに置き換えます。(必ず指定された形式に従ってください。始め中カッコの直後に改行を入れる必要があります。)たとえば、engAD.eng.company.comをADserver.eng.company.comに置き換えます。
- 使っていないkdcエントリを設定ファイルから削除します。たとえば、デフォルトのドメイン以外にドメインが 2 つしかない場合は、使っていないkdcエントリを削除します。
- ファイルを保存します。