Active Directory の統合の設定ファイルの作成

Active Directory のドメイン構造とサーバーの場所に関する情報を
Symantec Data Loss Prevention
に提供する
krb5.ini
(または Linux では
krb5.conf
) 設定ファイルを作成する必要があります。この手順は複数の Active Directory ドメインがある場合に必要です。ただし、Active Directory の構造に 1 つのドメインのみが含まれている場合でも、このファイルを作成することを推奨します。kinit ユーティリティは
Symantec Data Loss Prevention
が Active Directory サーバーと通信できることを確認するためにこのファイルを使います。
Linux で
Symantec Data Loss Prevention
を実行している場合は、kinit ユーティリティを使用して Active Directory 接続を検証します。
krb5.ini
ファイルの名前を
krb5.conf
に変更する必要があります。kinit ユーティリティでは、Linux 上でファイルの名前を
krb5.conf
にする必要があります。
Symantec Data Loss Prevention
は Active Directory 接続を検証するために kinit が使われていることを想定し、ファイルの名前を
krb5.conf
に変更するように指示します。
Symantec Data Loss Prevention
には、ユーザー固有のシステムで使うために修正できる、
krb5.ini
のサンプルファイルが用意されています。サンプルファイルは、
Protect\config
(Windows は
\Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config
、Linux は
/opt/Symantec/DataLossPrevention/EnforceServer/16.0/Protect/config
など)にあります。Linux で
Symantec Data Loss Prevention
を実行している場合は、ファイルの名前を
krb5.conf
に変更することを推奨します。サンプルファイルは、次のように 2 つのセクションに分かれています。
[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
[libdefaults]
セクションでは、デフォルトのドメインを識別します。(Kerberos レルムは Active Directory ドメインに対応しています。)
[レルム]
セクションで、各ドメインの Active Directory サーバを定義します。前述の例では、ENG.COMPANY.COM のための Active Directory サーバーは
engAD.eng
.company.com です。
  1. krb5.ini または krb5.conf ファイルを作成するには
  2. SymantecDLP
    \Protect\config
    に移動して、
    krb5.ini
    サンプルファイルを探します。たとえば、ファイルは、
    \Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config
    (Windows) または
    /opt/Symantec/DataLossPrevention/EnforceServer/16.0/Protect/config
    (Linux)にあります。
  3. krb5.ini
    のサンプルファイルを、c:\windows ディレクトリ (Windows 上) または /etc ディレクトリ (Linux 上) にコピーします。Linux で
    Symantec Data Loss Prevention
    を実行している場合は、kinit コマンドラインツールを使用して Active Directory 接続を検証します。ファイルの名前を
    krb5.conf
    に変更します。
  4. テキストエディタで、
    krb5.ini
    または
    krb5.conf
    ファイルを開きます。
  5. サンプルの
    default_realm
    値を、デフォルトドメインの完全修飾名に置き換えます。(
    default_realm
    の値はすべて大文字にする必要があります。)たとえば、以下のように値を変更します。
    default_realm = MYDOMAIN.LAB
  6. 他のサンプルドメイン名を、実際のドメインの名前に置き換えます。(ドメイン名はすべて大文字にする必要があります。)たとえば、
    ENG.COMPANY.COM
    ADOMAIN.COMPANY.COM
    に置き換えます。
  7. サンプルの
    kdc
    値を、Active Directory サーバーのホスト名または IP アドレスに置き換えます。(必ず指定された形式に従ってください。始め中カッコの直後に改行を入れる必要があります。)たとえば、
    engAD.eng.company.com
    ADserver.eng.company.com
    に置き換えます。
  8. 使っていない
    kdc
    エントリを設定ファイルから削除します。たとえば、デフォルトのドメイン以外にドメインが 2 つしかない場合は、使っていない
    kdc
    エントリを削除します。
  9. ファイルを保存します。