Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
Français
  • Common Content for Data Integration 10.4.1
  • Tous les produits

Table des matières

Search

  1. À propos du guide de sécurité
  2. Introduction à la sécurité Informatica
  3. Authentification utilisateur
  4. Authentification LDAP
  5. Authentification Kerberos
  6. Authentification SAML pour les applications Web Informatica
  7. Sécurité de domaine
  8. Gestion de la sécurité dans Informatica Administrator
  9. Utilisateurs et groupes
  10. Privilèges et rôles
  11. Autorisations
  12. Rapports d'audit
  13. Annexe A: Privilèges et autorisations de ligne de commande
  14. Annexe B: Rôles personnalisés

Guide de sécurité

Guide de sécurité

Précédent Suivant

Configurer le fichier de configuration Kerberos

Configurer le fichier de configuration Kerberos

Définissez les propriétés requises par Informatica dans le fichier de configuration Kerberos, puis copiez le fichier dans chaque nœud du domaine Informatica.
Kerberos stocke les informations de configuration dans un fichier nommé
krb5.conf
. Vous devez définir les propriétés dans le fichier de configuration krb5.conf, puis copier le fichier dans chaque nœud du domaine Informatica.
Si le domaine utilise l'authentification Kerberos inter-domaines, entrez les propriétés requises de chaque domaine Kerberos.
  1. Configurez les propriétés suivantes de la bibliothèque Kerberos dans la section
    libdefaults
     du fichier.
    Le tableau suivant décrit les propriétés à entrer :
    Propriété
    Description
    default_realm
    Nom du domaine Kerberos auquel les services du domaine Informatica appartiennent. Le nom du domaine doit être en majuscules.
    Si un domaine Kerberos unique est utilisé pour l'authentification, le nom du domaine de service et le nom du domaine de l'utilisateur doivent être identiques.
    forwardable
    Permet à un service de déléguer les informations d'identification d'un l'utilisateur client à un autre service. Le domaine Informatica requiert que les services d'application authentifient les informations d'identification de l'utilisateur client avec d'autres services.
    Définissez la propriété sur True.
    default_tkt_enctypes
    Types de chiffrement de la clé de session inclus dans les tickets TGT. Définissez cette propriété uniquement si les clés de session doivent utiliser des types de chiffrement spécifiques. Assurez-vous que le centre de distribution de clés Kerberos (KDC) prend en charge le type de chiffrement que vous spécifiez.
    Ne définissez pas cette propriété pour permettre au protocole Kerberos de sélectionner le type de chiffrement à utiliser.
    Si les hôtes du nœud ou du client Informatica utilisent le chiffrement 256 bits, installez les fichiers de stratégie JCE (Java Cryptography Extension) à accès illimité sur tous les hôtes du nœud et du client Informatica pour éviter les problèmes d'authentification.
    rdns
    Détermine si la recherche de nom inversée est utilisée en complément de la recherche de nom avancée pour la mise en forme canonique des noms d'hôte à utiliser dans les noms principaux de service.
    Définissez cette valeur sur False.
    renew_lifetime
    Durée de vie renouvelable par défaut pour les demandes de ticket initiales.
    ticket_lifetime
    Durée de vie par défaut pour les demandes de ticket initiales.
    udp_preference_limit
    Détermine le protocole utilisé par Kerberos lors de l'envoi d'un message au KDC.
    Définissez sur 1 pour utiliser le protocole TCP si le domaine connaît des échecs d'authentification Kerberos intermittents.
    dns_lookup_kdc
    Indique si le client Kerberos utilise des enregistrements DNS SRV pour localiser les KDC et autres serveurs d'un domaine, s'ils ne sont pas répertoriés dans les informations du domaine. DNS utilise des enregistrements SRV pour identifier des ordinateurs qui hébergent des services spécifiques. Requis lorsque le domaine est compatible Kerberos.
    Exige que vous définissiez la propriété de domaine admin_server.
    Définissez la propriété sur True.
    dns_lookup_realm
    Indique si le client Kerberos utilise des enregistrements DNS TXT pour déterminer le domaine Kerberos d'un hôte. DNS utilise des enregistrements de texte ou TXT pour associer le texte arbitraire à un hôte ou à un autre nom, par exemple des informations contrôlables de visu sur un serveur, un réseau, un centre de données ou d'autres informations de compte. Requis lorsque le domaine est compatible Kerberos.
    Définissez la propriété sur True.
  2. Définissez chaque domaine Kerberos dans la section
    realms
     du fichier.
    L'exemple suivant montre l'entrée d'un domaine Kerberos nommé COMPANY.COM : 
    [realms]
COMPANY.COM = {...}
  3. Entrez les propriétés suivantes du domaine entre crochets pour chaque domaine Kerberos dans la section
    realms
     du fichier.
    Le tableau suivant décrit les propriétés à entrer :
    Propriété
    Description
    admin_server
    Nom ou adresse IP de l'hôte du serveur d'administration Kerberos.
    Vous pouvez inclure un numéro de port facultatif, séparé du nom d'hôte par deux points. La valeur par défaut est 749.
    Requis si vous configurez dns_lookup_kdc dans la section
    libdefaults
    .
    kdc
    Nom ou adresse IP d'un hôte exécutant le centre de distribution de clés (KDC) du domaine.
    Vous pouvez inclure un numéro de port facultatif, séparé du nom d'hôte par deux points. La valeur par défaut est 88.
    L'exemple suivant montre les entrées de chaque domaine Kerberos dans une configuration Kerberos inter-domaines : 
    [realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111
}
  4. Dans la section
    domain_realms
    , mappez le nom du domaine ou le nom d'hôte à un nom de domaine Kerberos. Le nom de domaine est préfixé par un point (.).
    L'exemple suivant montre les paramètres du domain_realm Hadoop si le domaine Informatica n'utilise pas l'authentification Kerberos : 
    [domain_realm]
 .hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
    L'exemple suivant montre les paramètres du domain_realm Hadoop si le domaine Informatica utilise l'authentification Kerberos : 
    [domain_realm]
.infa_ad_realm.com = INFA-AD-REALM
  infa_ad_realm.com = INFA-AD-REALM
.hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
  5. Copiez le fichier
    krb5.conf
     vers les emplacements suivants de la machine qui héberge le service d'intégration de données :
    • <Informatica installation directory>/services/shared/security/
    • <Informatica installation directory>/java/jre/lib/security
L'exemple suivant montre le contenu d'un fichier de configuration Kerberos avec les propriétés requises d'une configuration de domaine Kerberos unique : 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
L'exemple suivant montre le contenu d'un fichier de configuration Kerberos avec les propriétés requises d'une configuration Kerberos inter-domaines : 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
.east.company.com = EAST.COMPANY.COM
east.company.com = EAST.COMPANY.COM
.west.company.com = WEST.COMPANY.COM
west.company.com = WEST.COMPANY.COM
Pour plus d'informations sur le fichier de configuration Kerberos, consultez la documentation relative à l'authentification réseau Kerberos.