Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
Deutsch
  • Common Content for Data Integration 10.4.1
  • Alle Produkte

Inhaltsverzeichnis

Search

  1. Über das Handbuch für Sicherheit
  2. Einführung in die Informatica-Sicherheit
  3. Benutzerauthentifizierung
  4. LDAP-Authentifizierung
  5. Kerberos-Authentifizierung
  6. SAML-Authentifizierung für Informatica-Webanwendungen
  7. Domänensicherheit
  8. Sicherheitsverwaltung in Informatica Administrator
  9. Benutzer und Gruppen
  10. Berechtigungen und Rollen
  11. Berechtigungen
  12. Auditberichte
  13. Anhang A: Befehlszeilenberechtigungen
  14. Anhang B: Benutzerdefinierte Rollen

Handbuch für Sicherheit

Handbuch für Sicherheit

Zurück Weiter

Funktionsweise von Kerberos in einer Informatica-Domäne

Funktionsweise von Kerberos in einer Informatica-Domäne

In einer Domäne, die zur Verwendung der Kerberos-Authentifizierung konfiguriert ist, authentifizieren sich die Informatica-Clients bei Knoten und Anwendungsdiensten innerhalb der Domäne, ohne Passwörter zu benötigen.
In einer Domäne mit Kerberos-Authentifizierung handelt es sich bei den innerhalb der Domäne ausgeführten Diensten, wie z. B. Knotenprozessen, Dienstanwendungsprozessen und Informatica-Anwendungsdiensten, um Kerberos-
Prinzipale
. Die vom Kerberos-Bereich verwendete Active Directory-Prinzipaldatenbank enthält ein Benutzerkonto für jeden Prinzipal.
Das Kerberos-Authentifizierungsprotokoll verwendet
keytabs
, um Informatica-Clients bei Diensten zu authentifizieren, die innerhalb der Domäne ausgeführt werden. Die Keytab-Datei für einen Prinzipal wird auf dem Knoten gespeichert, auf dem der Dienst ausgeführt wird. Die Keytab-Datei enthält den
Dienstprinzipalnamen (SPN, Service Principal Name)
, der den Dienst innerhalb des Kerberos-Bereichs identifiziert, sowie den Schlüssel, der dem SPN in Active Directory zugewiesen ist.
Wenn das KDC ein Dienstticket an einen Client ausgibt, verschlüsselt es das Ticket mit dem Schlüssel, der dem SPN zugewiesen ist. Der angeforderte Dienst verwendet den Schlüssel zum Entschlüsseln des Diensttickets.
Die folgende Abbildung zeigt den grundlegenden Ablauf für Kerberos-Authentifizierung:
Die Kerberos-Authentifizierung verwendet Tickets, damit sich Benutzer bei Diensten in einer Informatica-Domäne authentifizieren können.
Der folgende Überblick beschreibt den grundlegenden Ablauf für Kerberos-Authentifizierung:
  1. Ein Informatica-Clientbenutzer meldet sich bei einem Netzwerkcomputer an, der einen Informatica-Client hostet.
  2. Die Anmeldeanforderung wird an den
    Authentifizierungsserver
    , eine Komponente des
    Kerberos-Schlüsselverteilungscenters (Key Distribution Center, KDC)
    , weitergeleitet. Das KDC ist ein Netzwerkdienst mit Zugriff auf Benutzerkonteninformationen, der auf jedem Domänencontroller innerhalb der Active Directory-Domäne ausgeführt wird.
  3. Der Authentifizierungsserver verifiziert, dass der Benutzer in der Prinzipaldatenbank vorhanden ist, und erstellt dann einen Kerberos-Token, der als
    Ticket-Granting-Ticket (TGT)
     bezeichnet wird, auf dem Computer des Benutzers.
  4. Der Benutzer versucht, auf einen Prozess oder Dienst innerhalb der Informatica-Domäne über einen Informatica-Client zuzugreifen.
  5. Informatica und die Kerberos-Bibliotheken verwenden das TGT, um ein
    Dienstticket
     und einen
    Sitzungsschlüssel
     für den angeforderten Dienst bei einem
    Ticket-Granting-Server
     anzufordern, der ebenfalls innerhalb des KDC ausgeführt wird.
    Wenn der Benutzer beispielsweise auf einen Modellrepository-Dienst vom Informatica Developer-Client zugreift, fordert das TGT ein Dienstticket für den Knoten an, auf dem der angeforderte Dienst ausgeführt wird. Das TGT fordert auch ein Dienstticket für den Modellrepository-Dienst an.
  6. Kerberos verwendet das Dienstticket, um den Client bei dem angeforderten Dienst zu authentifizieren.
    Das Dienstticket wird auf dem Computer zwischengespeichert, der den Informatica-Client hostet, was es dem Client ermöglicht, das Ticket zu verwenden, solange es gültig ist. Wenn der Benutzer den Informatica-Client herunterfährt und dann neu startet, verwendet der Client das gleiche Ticket wieder, um auf Prozesse und Dienste innerhalb der Informatica-Domäne zuzugreifen.