Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
日本語
  • Informatica Data Quality 10.1.1
  • 所有产品

目次

Search

  1. セキュリティガイドについて
  2. Informaticaセキュリティ入門
  3. ユーザー認証
  4. LDAPセキュリティドメイン
  5. Kerberos認証のセットアップ
  6. ドメインセキュリティ
  7. Informatica Webアプリケーションへのシングルサインオン
  8. Informatica Administratorのセキュリティ管理
  9. ユーザーおよびグループ
  10. 特権およびロール
  11. 権限
  12. 監査レポート
  13. powercenterhelp
  14. コマンドラインの特権および権限
  15. カスタムロール
  16. 暗号スイートのデフォルトリスト

セキュリティガイド

セキュリティガイド

前へ 次へ

サービスプリンシパル名とキータブファイルのトラブルシューティング

サービスプリンシパル名とキータブファイルのトラブルシューティング

Kerberosユーティリティを使用して、Kerberos管理者が作成したサービスプリンシパルおよびキータブファイル名が、自分で作成したサービスプリンシパルおよびキータブファイル名に一致することを確認できます。このユーティリティは、Kerberos Key Distribution Center(KDC)のステータスの特定にも使用できます。
setspn
kinit
klist
などのKerberosユーティリティは、SPNとキータブファイルの表示と確認に使用できます。これらのユーティリティを使用する場合は、KRB5_CONFIG環境変数にKerberos設定ファイルのパスとファイル名が含まれていることを確認します。
以下の例は、Kerberosユーティリティを使用してSPNとキータブファイルが有効であることを確認する方法を示しています。この例は、Kerberos管理者がユーティリティを使用してInformaticaドメインで必要なSPNとキータブファイルを作成する方法とは異なる場合があります。Kerberosユーティリティの実行の詳細については、Kerberosマニュアルを参照してください。
以下のユーティリティを使用して、SPNとキータブファイルの検証します。
klist
klist
を使用して、キータブファイル内のKerberosプリンシパルとキーを一覧表示できます。キータブファイル内のキーとキータブエントリのタイムスタンプを一覧表示するには、以下のコマンドを実行します。 
klist -k -t <keytab_file>
以下の出力例は、キータブファイル内のプリンシパルを示しています。 
Keytab name: FILE:int_srvc01.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
   3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
   3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
   3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
   3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
kinit
kinit
を使用して、ユーザーアカウントのチケット交付チケットを要求し、KDCが実行されていてチケットの交付が可能であることを検証できます。ユーザーアカウントのチケット交付チケットを要求するには、以下のコマンドを実行します。 
kinit <user_account>
kinit
を使用してチケット交付チケットを要求し、Kerberos接続の確立に使用可能なキータブファイルであることも検証できます。SPNのチケット交付チケットを要求するには、次のコマンドを実行します。 
kinit -V -k -t <keytab_file> <SPN>
以下の出力の例は、指定されたキータブファイルとSPNのデフォルトキャッシュで作成されたチケット交付チケットを示しています。 
Using default cache: /tmp/krb5cc_10000073
Using principal: int_srvc01/node01_vMPE/Domn96_vMPE@REALM
Using keytab: int_srvc01.keytab
Authenticated to Kerberos v5
setspn
setspn
を使用して、Active DirectoryサービスアカウントのSPNを表示、変更、削除できます。Active Directoryサービスをホストするマシンで、コマンドラインウィンドウを開き、コマンドを実行します。
ユーザーアカウントに関連付けられたSPNを表示するには、次のコマンドを実行します。 
setspn -L <user_account>
以下の出力の例は、ユーザーアカウント
is96svc
に関連付けられたSPNを示しています。 
Registered ServicePrincipalNames for CN=is96svc,OU=AllSvcAccts,OU=People,
DC=ds,DC=intrac0rp,DC=zec0rp:
       int_srvc01/node02_vMPE/Domn96_vMPE
SPNに関連付けられたユーザーアカウントを表示するには、次のコマンドを実行します。 
setspn -Q <SPN>
以下の出力の例は、SPN
int_srvc01/node02_vMPE/Domn96_vMPE
に関連付けられたユーザーアカウントを示しています。 
Checking domain DC=ds,DC=intrac0rp,DC=zec0rp
CN=is96svc,OU=AllSvcAccts,OU=People,DC=ds,DC=intrac0rp,DC=zec0rp
        int_srvc01/node02_vMPE/Domn96_vMPE

Existing SPN found!
重複SPNを検索するには、以下のコマンドを実行します。 
setspn -X
以下の出力の例は、1つのSPNに関連付けられた複数のユーザーアカウントを示しています。 
Checking domain DC=ds,DC=intrac0rp,DC=zec0rp
Processing entry 1125
HOST/mtb01.REALM is registered on these accounts:
        CN=Team1svc,OU=AllSvcAccts,OU=People,DC=ds,DC=intrac0rp,DC=zec0rp
        CN=MTB1svc,OU=IIS,OU=WPC960K3,OU=WINServers,DC=ds,DC=intrac0rp,DC=zec0rp
重複SPNの検索に長い時間がかかり、大量のメモリを使用する可能性があります。
kdestroy
kdestroy
を使用して、アクティブなKerberos承認チケットと、チケットが含まれるユーザークレデンシャルのキャッシュを削除できます。パラメータを指定せずに
kdestroy
を実行した場合、デフォルトのクレデンシャルのキャッシュが削除されます。