Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
日本語
  • Informatica Data Quality 10.5
  • 所有产品

目次

Search

  1. セキュリティガイドについて
  2. Informaticaセキュリティ入門
  3. ユーザー認証
  4. LDAP認証
  5. Kerberos認証
  6. Informatica Webアプリケーション向けのSAML認証
  7. ドメインセキュリティ
  8. Informatica Administratorのセキュリティ管理
  9. ユーザーおよびグループ
  10. 特権およびロール
  11. 権限
  12. 監査レポート
  13. 付録 A: コマンドラインの特権および権限
  14. 付録 B: カスタムロール

セキュリティガイド

セキュリティガイド

前へ 次へ

Kerberos設定ファイルの設定

Kerberos設定ファイルの設定

Kerberos設定ファイル内にInformaticaで必要なプロパティを設定し、そのファイルをInformaticaドメインの各ノードにコピーします。
Kerberosは、
krb5.conf
.krb5.conf設定ファイル内にプロパティを設定し、そのファイルをInformaticaドメインの各ノードにコピーする必要があります。
ドメインでKerberosレルム間認証を使用する場合、各Kerberosレルムに必要なプロパティを入力します。
  1. ファイルの
    libdefaults
    セクションで、次のKerberosライブラリプロパティを設定します。
    次の表に、入力するプロパティを示します。
    プロパティ
    説明
    default_realm
    Informaticaドメインサービスが属するKerberosレルムの名前。レルム名は大文字にする必要があります。
    ドメインで認証のために単一のKerberosレルムを使用する場合、サービスレルム名とユーザーレルム名を同じにする必要があります。
    forwardable
    サービスがクライアントユーザーの資格情報を他のサービスに委譲できるようにします。Informaticaドメインでは、他のサービスに対してクライアントユーザーの資格情報を認証するアプリケーションサービスを必要とします。
    trueに設定します。
    default_tkt_enctypes
    チケット交付チケット(TGT)に含まれるセッションキーの暗号化タイプです。 このプロパティは、セッションキーが固有の暗号化タイプを使用する必要がある場合にのみ設定します。Kerberos Key Distribution Center(KDC)が、指定する暗号化タイプをサポートすることを確認します。
    Kerberosプロトコルに使用する暗号化タイプを選択することを許可するには、このプロパティを設定しません。
    ノードホストまたはInformaticaクライアントホストが256ビット暗号化を使用する場合、認証の問題を回避するために、すべてのノードホストおよびInformaticaクライアントホストに強度無制限のJava Cryptography Extension(JCE)ポリシーファイルをインストールする必要があります。
    rdns
    サービスプリンシパル名で使用するホスト名を正規化するために、名前の正引きの他に、名前の逆引きを使用するかどうかを決定します。
    falseに設定します。
    renew_lifetime
    初期チケット要求のデフォルトの更新可能な有効期間です。
    ticket_lifetime
    初期チケット要求のデフォルトの有効期間です。
    udp_preference_limit
    メッセージをKDCに送信する際にKerberosが使用するプロトコルを決定します。
    ドメインに断続的なKerberos認証の失敗が発生する場合は、TCPプロトコルを使用するために1に設定します。
    dns_lookup_kdc
    KerberosクライアントがDNS SRVレコードを使用して、レルムに関する情報に一覧表示されていないレルム用のKDCおよびその他のサーバーを見つけるかどうかを示します。DNSはSRVレコードを使用して、特定のサービスをホストするコンピュータを特定します。ドメインがKerberos対応である場合は必須です。
    admin_serverレルムプロパティを設定する必要があります。
    trueに設定します。
    dns_lookup_realm
    KerberosクライアントがDNS TXTレコードを使用して、ホストのKerberosレルムを決定するかどうかを示します。DNSはテキストまたはTXTレコードを使用して、任意テキストをホストまたはその他の名前(サーバー、ネットワーク、データセンターに関する人間が読める情報、またはその他の会計情報など)と関連付けます。ドメインがKerberos対応である場合は必須です。
    trueに設定します。
  2. ファイルの
    レルム
    セクションで、各Kerberosレノムを定義します。
    以下の例は、COMPANY.COMというKerberosレルムのエントリを示しています。 
    [realms]
COMPANY.COM = {...}
  3. ファイルの
    レルム
    セクションで、各Kerberosレルムに対するバケット内に次のレルムプロパティを入力します。
    次の表に、入力するプロパティを示します。
    プロパティ
    説明
    admin_server
    Kerberos管理サーバーホストの名前またはIPアドレスです。
    オプションのポート番号を、ホスト名をコロンで区切って含めることができます。デフォルトは749です。
    libdefaults
    セクションでdns_lookup_kdcを設定する場合は必須です。
    kdc
    レルムのKey Distribution Center(KDC)を実行しているホストの名前またはIPアドレスです。
    オプションのポート番号を、ホスト名をコロンで区切って含めることができます。デフォルトは88です。
    次の例は、Kerberosレルム間設定内の各Kerberosレルムのエントリを示しています。 
    [realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111
}
  4. domain_realms
    セクションで、ドメイン名またはホスト名をKerberosレルム名にマッピングします。ドメイン名の先頭にはピリオド(.)が付きます。
    次の例は、InformaticaドメインがKerberos認証を使用しない場合のHadoopのdomain_realmのパラメータを示しています。 
    [domain_realm]
 .hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
    次の例は、InformaticaドメインがKerberos認証を使用する場合のHadoopのdomain_realmのパラメータを示しています。 
    [domain_realm]
.infa_ad_realm.com = INFA-AD-REALM
  infa_ad_realm.com = INFA-AD-REALM
.hadoop_realm.com = HADOOP-REALM
  hadoop_realm.com = HADOOP-REALM
  5. krb5.conf
    ファイルを、データ統合サービスをホストするマシンの次の場所にコピーします。
    • <Informatica installation directory>/services/shared/security/
    • <Informatica installation directory>/java/jre/lib/security
次の例では、Kerberos設定ファイルの内容と単一のKerberosレルム設定に必要なプロパティを示しています。 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
次の例では、Kerberos設定ファイルの内容とKerberosレルム間設定に必要なプロパティを示しています。 
[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
.east.company.com = EAST.COMPANY.COM
east.company.com = EAST.COMPANY.COM
.west.company.com = WEST.COMPANY.COM
west.company.com = WEST.COMPANY.COM
Kerberos設定ファイルに関する詳細は、Kerberosネットワーク認証のマニュアルを参照してください。