Search

安全指南

安全指南

10.4.0
- 10.5.2
- 10.5
- 10.4.1
- 10.2.2 HotFix 1

上一个下一个

Kerberos 在 Informatica 域中的工作原理

Kerberos 在 Informatica 域中的工作原理

在配置为使用 Kerberos 身份验证的域中，Informatica 客户端借助域内的节点和应用程序服务进行身份验证，无需密码。

在使用 Kerberos 身份验证的域中，在域内运行的服务，包括节点进程、Web 应用程序进程和 Informatica 应用程序服务，都是 Kerberos 主体
。在 Kerberos 域使用的 Active Directory 主体数据库中，每个主体都有一个用户帐户。

Kerberos 身份验证协议使用 keytabs
借助在域内运行的服务对 Informatica 客户端进行验证。主体的 keytab 储存在运行服务的节点中。keytab 包含在 Kerberos 域内标识服务的服务主体名称 (SPN)
和在 Active Directory 内分配给 SPN 的秘钥。

当 KDC 向客户端提供服务票证时，它会使用分配给 SPN 的密钥加密该票证。请求的服务使用该密钥对服务票证进行解密。

下图说明了基本 Kerberos 身份验证流程：

Kerberos 身份验证使用票据来启用用户借助 Informatica 域内的服务进行身份验证。

下面概括了基本 Kerberos 身份验证流程：

Informatica 客户端用户登录到托管 Informatica 客户端的网络计算机。

登录请求被定向到身份验证服务器
，它是 Kerberos 密钥分发中心 (KDC)
的一个组件。KDC 是一种在 Active Directory 域内的每个域控制器上运行、有权访问用户帐户信息的网络服务。

验证服务器验证用户是否存在于主体数据库中，然后在用户的计算机上创建名为票证授予票证 (TGT)
的令牌。

用户尝试通过 Informatica 客户端访问 Informatica 域内的进程或服务。

Informatica 和 Kerberos 库使用 TGT 从同在 KDC 内运行的票证授予服务器
中请求一个服务票证
和会话密钥
。

例如，如果用户从 Informatica Developer 客户端访问模型存储库服务，TGT 则会请求运行所请求服务的节点的服务票证。此外，TGT 还会请求模型存储库服务的服务票证。

Kerberos 使用该服务票证借助所请求的服务对客户端进行身份验证。

服务票证缓存在托管 Informatica 客户端的计算机上，因而客户端能够在票证仍有效的情况下使用该票证。如果用户关闭然后重新启动 Informatica 客户端，客户端将重新使用同一票证来访问 Informatica 域内的进程和服务。

Kerberos 身份验证

发送反馈