Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
Deutsch
  • Common Content for Data Integration 10.5
  • Alle Produkte

Inhaltsverzeichnis

Search

  1. Über das Handbuch für Sicherheit
  2. Einführung in die Informatica-Sicherheit
  3. Benutzerauthentifizierung
  4. LDAP-Authentifizierung
  5. Kerberos-Authentifizierung
  6. SAML-Authentifizierung für Informatica-Webanwendungen
  7. Domänensicherheit
  8. Sicherheitsverwaltung in Informatica Administrator
  9. Benutzer und Gruppen
  10. Berechtigungen und Rollen
  11. Berechtigungen
  12. Auditberichte
  13. Anhang A: Befehlszeilenberechtigungen
  14. Anhang B: Benutzerdefinierte Rollen

Handbuch für Sicherheit

Handbuch für Sicherheit

Zurück Weiter

Konfigurieren der Kerberos-Konfigurationsdatei

Konfigurieren der Kerberos-Konfigurationsdatei

Legen Sie die Eigenschaften fest, die von Informatica für die Kerberos-Konfigurationsdatei gefordert werden, und kopieren Sie die Datei dann auf jeden Knoten in der Informatica-Domäne.
Kerberos speichert Konfigurationsinformationen in einer Datei mit der Bezeichnung
krb5.conf
: Sie müssen die Eigenschaften in der Konfigurationsdatei „krb5.conf“ festlegen und die Datei anschließend auf jeden Knoten in der Informatica-Domäne kopieren.
Wenn in der Domäne die bereichsübergreifende Kerberos-Authentifizierung verwendet wird, geben Sie die notwendigen Eigenschaften für jeden Kerberos-Bereich ein.
  1. Konfigurieren Sie die folgenden Eigenschaften der Kerberos-Bibliothek im Abschnitt
    libdefaults
     der Datei.
    In der folgenden Tabelle werden die einzugebenden Eigenschaften beschrieben:
    Eigenschaft
    Beschreibung
    default_realm
    Name des Kerberos-Bereichs, zu dem die Informatica-Domänendienste gehören. Der Bereichsname muss aus Großbuchstaben bestehen.
    Wird in der Domäne ein einzelner Kerberos-Bereich für die Authentifizierung verwendet, müssen der Name des Dienstbereichs und der Name des Benutzerbereichs identisch sein.
    forwardable
    Ermöglicht es einem Dienst, Client-Benutzeranmeldedaten an einen anderen Dienst zu delegieren. Für die Informatica-Domäne müssen Anwendungsdienste die Client-Benutzeranmeldedaten bei anderen Diensten authentifizieren.
    Setzen Sie den Wert auf „true“.
    default_tkt_enctypes
    Verschlüsselungstypen für den Sitzungsschlüssel, der in den Ticket-Granting-Tickets (TGT) enthalten ist. Legen Sie diese Eigenschaft nur fest, wenn Sitzungsschlüssel spezifische Verschlüsselungstypen verwenden müssen. Vergewissern Sie sich, dass das Key Distribution Center (KDC) von Kerberos den angegebenen Verschlüsselungstyp unterstützt.
    Legen Sie diese Eigenschaft nicht fest, um zuzulassen, dass das Kerberos-Protokoll den zu verwendenden Verschlüsselungstyp auswählt.
    Wenn die Knotenhosts oder die Informatica-Clienthosts 256-Bit-Verschlüsselung verwenden, installieren Sie die Unlimited Strength JCE-Richtliniendateien (Java Cryptography Extension) auf allen Knotenhosts und Informatica-Clienthosts, um Authentifizierungsprobleme zu vermeiden.
    rdns
    Bestimmt, ob Reverse Name Lookup zusätzlich zu Forward Name Lookup verwendet wird, um Hostnamen für die Verwendung in Dienstprinzipalnamen zu kanonisieren.
    Setzen Sie den Wert auf „false“.
    renew_lifetime
    Die verlängerbare Standardlebensdauer für anfängliche Ticketanfragen.
    ticket_lifetime
    Die Standardlebensdauer für anfängliche Ticketanfragen.
    udp_preference_limit
    Legt das Protokoll fest, das Kerberos beim Senden einer Meldung an das KDC verwendet.
    Legen Sie den Wert auf 1 fest, um das TCP-Protokoll zu verwenden, wenn in der Domäne immer wieder Kerberos-Authentifizierungsfehler auftreten.
    dns_lookup_kdc
    Gibt an, ob der Kerberos-Client die KDCs und andere Server für einen Bereich, falls diese nicht in den Informationen für den Bereich aufgeführt sind, mithilfe von DNS-SRV-Datensätzen sucht. Anhand von SRV-Datensätzen ermittelt DNS Computer, die bestimmte Dienste hosten. Erforderlich, wenn die Domäne Kerberos-fähig ist.
    Erfordert die Festlegung der Bereichseigenschaft „admin_server“.
    Setzen Sie den Wert auf „true“.
    dns_lookup_realm
    Gibt an, ob der Kerberos-Client den Kerberos-Bereich eines Hosts mithilfe von DNS-TXT-Datensätzen bestimmt. Anhand von TXT-Datensätzen verknüpft DNS beliebigen Text, beispielsweise visuell lesbare Informationen zu einem Server, Netzwerk, Datencenter oder anderen Buchhaltungsinformationen, mit einem Hostnamen oder anderen Namen. Erforderlich, wenn die Domäne Kerberos-fähig ist.
    Setzen Sie den Wert auf „true“.
  2. Definieren Sie die einzelnen Kerberos-Bereiche im Abschnitt
    realms
     der Datei.
    Das folgende Beispiel zeigt den Eintrag für einen Kerberos-Bereich mit dem Namen COMPANY.COM: 
    [realms]
COMPANY.COM = {...}
  3. Geben Sie die folgenden Bereichseigenschaften in Klammern für jeden Kerberos-Bereich im Abschnitt
    realms
     der Datei ein.
    In der folgenden Tabelle werden die einzugebenden Eigenschaften beschrieben:
    Eigenschaft
    Beschreibung
    admin_server
    Der Name oder die IP-Adresse des Kerberos-Verwaltungsserverhosts.
    Sie können eine optionale Portnummer einschließen, die durch einen Doppelpunkt vom Hostnamen getrennt wird. Der Standardwert ist 749.
    Erforderlich, wenn Sie „dns_lookup_kdc“ im Abschnitt
    libdefaults
     konfigurieren.
    kdc
    Der Name oder die IP-Adresse eines Hosts, der das Key Distribution Center (KDC) für den Bereich ausführt.
    Sie können eine optionale Portnummer einschließen, die durch einen Doppelpunkt vom Hostnamen getrennt wird. Der Standardwert ist 88.
    Das folgende Beispiel zeigt die Einträge für jeden Kerberos-Bereich in einer bereichsübergreifenden Kerberos-Konfiguration: 
    [realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111
}
  4. Ordnen Sie im Abschnitt
    domain_realms
     den Domänen- oder Hostnamen einem Kerberos-Bereichsnamen zu. Der Domänenname weist als Präfix einen Punkt (.) auf.
    Das folgende Beispiel zeigt die Parameter für den Hadoop-Bereich „domain_realm“, wenn die Informatica-Domäne die Kerberos-Authentifizierung nicht verwendet: 
    [domain_realm]
 .hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
    Das folgende Beispiel zeigt die Parameter für den Hadoop-Bereich „domain_realm“, wenn die Informatica-Domäne die Kerberos-Authentifizierung verwendet: 
    [domain_realm]
.infa_ad_realm.com = INFA-AD-REALM
  infa_ad_realm.com = INFA-AD-REALM
.hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
  5. Kopieren Sie die Datei
    krb5.conf
     in die folgenden Verzeichnisse auf dem Computer, auf dem der Datenintegrationsdienst gehostet wird:
    • <Informatica-Installationsverzeichnis>/services/shared/security
    • <Informatica-Installationsverzeichnis>/java/jre/lib/security/
Das folgende Beispiel zeigt den Inhalt einer Kerberos-Konfigurationsdatei mit den notwendigen Eigenschaften für eine Kerberos-Konfiguration für Einzelbereiche: 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
Das folgende Beispiel zeigt den Inhalt einer Kerberos-Konfigurationsdatei mit den notwendigen Eigenschaften für eine bereichsübergreifende Kerberos-Konfiguration: 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
.east.company.com = EAST.COMPANY.COM
east.company.com = EAST.COMPANY.COM
.west.company.com = WEST.COMPANY.COM
west.company.com = WEST.COMPANY.COM
Weitere Informationen zur Kerberos-Konfigurationsdatei finden Sie in der Dokumentation zur Kerberos-Netzwerkauthentifizierung.