セキュリティガイド

10.1
- 10.5.2
- 10.5.1
- 10.5
- 10.4.1
- 10.1.1

前へ次へ

手順6。サービスプリンシパル名およびキータブファイルの作成

Informaticaで要求されるフォーマットのSPNとキータブファイル名のリストを生成した後、Kerberos管理者に要求を送信し、KerberosプリンシパルデータベースにSPNを追加してキータブファイルを作成します。

SPNおよびキータブファイルを作成する際は、次のガイドラインを使用します。

ユーザープリンシパル名（UPN）はSPNと同じである必要があります。: サービスプリンシパルのユーザーアカウントを作成する際は、SPNと同じ名前でUPNを設定する必要があります。Informaticaドメイン内のアプリケーションサービスは、操作に応じて、サービスまたはクライアントとして機能することができます。サービスプリンシパルは、同じUPNとSPNで識別できるように設定する必要があります。; ユーザーアカウントは、1つのSPNとのみ関連付けます。1つのユーザーアカウントに複数のSPNを設定することはできません。
Microsoft Active Directoryで委任を有効化します。: Informaticaドメインでサービスプリンシパルが使用されているすべてのユーザーアカウントで、委任を有効化する必要があります。Microsoft Active Directoryサービスで、SPNを設定した各ユーザーアカウントに
［このユーザーを信用して任意のサービスを委任する（Kerberosのみ）］
オプションを設定します。
委任認証が行われるのは、ユーザーが1つのサービスで認証され、そのサービスが認証されたユーザーの資格情報を使用して別のサービスに接続する場合です。Informaticaドメイン内のサービスは他のサービスに接続して操作を完了する必要があるため、InformaticaドメインではMicrosoft Active Directoryで委任オプションを有効化する必要があります。
例えば、PowerCenter ClientがPowerCenterリポジトリサービスに接続する際、クライアントユーザーのアカウントはPowerCenterリポジトリサービスプリンシパルで認証されます。PowerCenterリポジトリサービスがPowerCenter統合サービスに接続するときに、PowerCenterリポジトリサービスプリンシパルはクライアントユーザーの資格情報を使用してPowerCenter統合サービスに対する認証を行うことができます。クライアントユーザーのアカウントをPowerCenter統合サービスでも認証する必要はありません。
ktpassユーティリティを使用して、サービスプリンシパルのキータブファイルを作成します。: Microsoft Active Directoryでは、キータブファイルを作成するためにktpassユーティリティが用意されています。InformaticaではMicrosoft Active DirectoryでのみKerberos認証をサポートしており、ktpassで作成したキータブファイルのみを認証します。