Guía de seguridad > Configuración de la autenticación Kerberos > Configuración de la autenticación Kerberos
  

Configuración de la autenticación Kerberos

Cuando cree el dominio de Informatica durante la instalación, puede seleccionar la opción para habilitar la autenticación Kerberos. Si no habilita la autenticación Kerberos durante la instalación, puede utilizar los programas de la línea de comandos de Informatica para configurar el dominio para utilizar la autenticación Kerberos.
Para configurar la autenticación Kerberos del dominio de Informatica en la línea de comandos, realice los siguientes pasos:
  1. 1. Cree un dominio de usuario de LDAP con usuarios de Microsoft Active Directory.
  2. 2. Migre usuarios nativos a un dominio de seguridad de LDAP.
  3. 3. Configure los ajustes de Kerberos y copie el archivo de configuración en el directorio de Informatica.
  4. 4. Genere el SPN y el archivo de tabla de claves con el formato requerido por el dominio de Informatica.
  5. 5. Revise el archivo de texto con el formato del SPN y el archivo de tabla de claves.
  6. 6. Cree los SPN y los archivos de tabla de claves.
  7. 7. Configure la autenticación Kerberos del dominio de Informatica.
  8. 8. Actualice los nodos del dominio de Informatica.
  9. 9. Actualice los equipos cliente.
  10. 10. Inicie el dominio de Informatica y ejecute la herramienta del administrator.
Después de configurar la autenticación Kerberos y los dominios de seguridad de LDAP, compruebe que las cuentas de usuario tienen los privilegios y los permisos correctos. Compruebe que los servicios del dominio rinden como se esperaba y que los usuarios pueden iniciar sesión con inicio de sesión único.
Nota: Los pasos que se indican se basan en el supuesto de que ha instalado los servicios de Informatica sin habilitar la autenticación Kerberos. Si ha habilitado la autenticación Kerberos durante la instalación, siga los pasos de las guías de instalación de Informatica.

Paso 1. Crear un dominio de usuario de LDAP con usuarios de Microsoft Active Directory

Antes de configurar el dominio de Informatica para utilizar autenticación Kerberos, revise las cuentas de usuario del dominio. Compruebe que están en dominios de seguridad de LDAP y que las cuentas se importan desde el servicio de Microsoft Active Directory.
Si el dominio contiene cuentas de usuario en un dominio de seguridad de LDAP que no utiliza Microsoft Active Directory, migre los usuarios a un dominio de seguridad de LDAP que utilice Microsoft Active Directory. Para obtener más información sobre la migración de cuentas de usuario a Microsoft Active Directory, consulte la documentación de su implementación de LDAP.
Si el dominio tiene cuentas de usuario en el dominio de seguridad nativo, migre los usuarios a un dominio de seguridad de LDAP que utilice Microsoft Active Directory.
Configure un dominio de seguridad de LDAP y configure la conexión con el servicio de Microsoft Active Directory. A continuación, configure los filtros para los usuarios y los grupos y sincronice las cuentas de usuario del dominio.
Para obtener más información sobre la configuración de un dominio de LDAP y la sincronización de las cuentas de usuario, consulte Configuración de un dominio de seguridad de LDAP

Paso 2. Migrar privilegios y permisos de usuarios nativos a un dominio de seguridad de LDAP

Tras configurar el dominio para utilizar autenticación Kerberos, no podrá modificar las cuentas de usuario del dominio de seguridad nativo. Antes de configurar la autenticación Kerberos, migre los grupos de usuarios nativos, las funciones, los privilegios y los permisos a un dominio de seguridad de LDAP.
Si el dominio contiene cuentas de usuario en el dominio de seguridad nativo, las cuentas de usuario correspondientes en el dominio de seguridad de LDAP deben tener los mismos grupos, funciones, privilegios y permisos. Migre los grupos, las funciones, los privilegios y los permisos de los usuarios nativos a los usuarios de Microsoft Active Directory en el dominio de seguridad de LDAP. A continuación, compruebe que la migración de los grupos, las funciones, los privilegios y los permisos se ha realizado correctamente.
Si el dominio no contiene cuentas de usuario en el dominio de seguridad nativo, continúe con Paso 3. Configurar el archivo de configuración de Kerberos.
Para migrar los grupos, las funciones, los privilegios y los permisos de usuarios nativos a los usuarios del dominio de seguridad de LDAP, realice los siguientes pasos:
  1. 1. Compruebe las cuentas de usuario para la autenticación Kerberos.
  2. 2. Cree el archivo de migración de usuario.
  3. 3. Ejecute el comando infacmd isp migrateusers.
  4. 4. Compruebe los grupos, las funciones, los privilegios y los permisos de las cuentas de usuario.
Nota: Para evitar que ocurran problemas durante la migración de las funciones, los privilegios y los permisos de los grupos de usuarios, absténgase de ejecutar flujos de trabajo o de modificar los grupos de usuarios, las funciones, los privilegios o los permisos durante el proceso de migración.

Comprobar las cuentas de usuario para autenticación Kerberos

Consulte la lista de cuentas de usuario nativas y determine las cuentas que desea migrar a un dominio de seguridad de LDAP para autenticación Kerberos.
Para enumerar las cuentas de usuario del dominio de Informatica, ejecute el siguiente comando:
infacmd isp ListAllUsers
Cada cuenta de usuario nativa que desee migrar al dominio de seguridad de LDAP debe contar con una cuenta correspondiente en el servicio Microsoft Active Directory que se utiliza para la autenticación Kerberos.
Si las cuentas no existen en el servicio de Microsoft Active Directory, añada las cuentas de usuario al servicio de directorios. Para obtener más información sobre cómo añadir las cuentas de usuario al servicio de Microsoft Active Directory, consulte la documentación de Microsoft Active Directory.
Nota: El nombre de usuario de las cuentas de usuario del dominio de seguridad de LDAP tiene una longitud máxima de 20 caracteres. Al añadir las cuentas de usuario al servicio de Microsoft Active Directory, asegúrese de que la longitud del nombre de usuario no exceda los 20 caracteres.

Crear el archivo de migración de usuario

El comando infacmd isp migrateUsers utiliza un archivo de migración de usuario para determinar los grupos, las funciones, los privilegios y los permisos que se asignarán a los usuarios de LDAP. El archivo de migración de usuario es un archivo de texto sin formato que contiene la lista de usuarios nativos y de usuarios de LDAP correspondientes que deben tener los mismos grupos, funciones, privilegios y permisos.
Al crear el archivo de migración de usuario, debe especificar el dominio de seguridad de la cuenta de usuario. Una barra diagonal (/) separa el dominio de seguridad del nombre de usuario. Una coma (,) separa el usuario nativo del usuario de LDAP correspondiente. Los dominios de seguridad distinguen mayúsculas de minúsculas. En cambio, los nombres de usuario no distinguen mayúsculas de minúsculas.
Utilice el siguiente formato para enumerar las entradas en el archivo de migración de usuario:
Native/<SourceUserName>,LDAP/<TargetUserName>
Puede migrar los grupos, las funciones, los privilegios y los permisos de los usuarios nativos a los usuarios de diferentes dominios de seguridad de LDAP. Por ejemplo, si el archivo de migración de usuario contiene la siguiente lista de usuarios:
Native/User1,LDAPSecurityDomain/User1
Native/User2,LDAPSecurityDomain/User2
Native/User3,newLDAPSecDomain/User3
El comando migrateUser asigna a User1 y User2 de LDAPSecurityDomain los mismos grupos, funciones, privilegios y permisos de User1 y User2 en el dominio de seguridad nativo. El comando asigna a User3 de newLDAPSecDomain los mismos grupos, funciones, privilegios y permisos de User3 en el dominio de seguridad nativo.
El comando migrateUsers omite las entradas con nombres de usuario de origen o de destino duplicados.

Ejecutar el comando infacmd isp migrateUsers

Para migrar los grupos, las funciones, los privilegios y los permisos de los usuarios del dominio de seguridad nativo a los usuarios del dominio de seguridad de LDAP, ejecute el comando infacmd migrateUsers y especifique el archivo de migración de usuarios que se debe utilizar.
Antes de que ejecute el comando infacmd isp migrateUsers, asegúrese de que todas las instancias de los siguientes servicios se están ejecutando en el dominio:
Asegúrese de que el servicio de repositorio de PowerCenter se está ejecutando en modo normal.
Para migrar los grupos, las funciones, los privilegios y los permisos de los usuarios, ejecute el siguiente comando:
infacmd isp migrateUsers -dn <DomainName> -un <AdministratorUserName> -pd <AdministratorPassword> -umf <UserMigrationFile>
Por ejemplo, el siguiente comando migra los grupos, las funciones, los privilegios y los permisos de usuarios con base en el archivo de migración de usuarios um_s.txt:
infacmd isp migrateUsers -dn UMT_Domain -un Administrator -pd Admnistrator -umf C:\UMT\um_s.txt
El comando sobrescribe los permisos del objeto de conexión que se han asignado al usuario de LDAP con los permisos del objeto de conexión del usuario nativo. El comando fusiona los grupos, las funciones, los privilegios y los permisos del objeto de dominio de los usuarios nativos y los usuarios de LDAP correspondientes.
El comando migrateUsers crea un archivo de registro detallado llamado infacmd_umt_<date>_<time>.txt en el directorio en el que se ejecuta el comando.
Para obtener más información sobre el comando, consulte Referencia de comando de Informatica.

Solución de problemas del comando migrateUsers

¿Cómo se puede mejorar el rendimiento de la migración?
Para mejorar el rendimiento de la migración, realice los pasos siguientes:
  1. 1. Cree varios archivos únicos de migración de usuario con una cantidad de limitada de usuarios en cada archivo.
  2. 2. Ejecute varias instancias del comando migrateUsers al mismo tiempo.
Por ejemplo, para migrar los grupos, las funciones, los privilegios y los permisos de 150 usuarios, puede crear tres archivos de migración de usuario con 50 usuarios cada uno. A continuación, ejecute tres instancias del comando migrateUsers de manera simultánea. Especifique un único archivo de migración de usuarios para cada instancia del comando.
El comando migrateUsers genera un error.
Si el comando migrateUsers genera un error, están disponibles las siguientes rutas de acceso de recuperación:
Cuando ejecute de nuevo el comando, especifique el mismo archivo de migración de usuarios. El comando sobrescribe los permisos del objeto de conexión que se han asignado al usuario de LDAP con los permisos del objeto de conexión del usuario nativo. El comando fusiona los grupos, las funciones, los privilegios y los permisos del objeto de dominio de los usuarios nativos y los usuarios de LDAP correspondientes.
Para modificar el archivo de migración de usuarios, realice los pasos siguientes:
  1. 1. Vea el archivo de registro detallado que se ha creado al ejecutar el comando migrateUsers.
  2. 2. Elimine los usuarios que el comando migró correctamente desde el archivo de migración de usuarios.
  3. 3. Ejecute el comando migrateUsers.

Comprobar privilegios y permisos de las cuentas de usuario

Antes de habilitar la autenticación Kerberos, debe comprobar que los usuarios del dominio de seguridad de LDAP tengan los grupos, las funciones, los privilegios y los permisos correctos. Puede usar el comando infacmd para comprobar los grupos, las funciones, los privilegios y los permisos de las cuentas de usuario del dominio de seguridad de LDAP.
Compruebe que los siguientes objetos se han migrado correctamente:
Usuarios y grupos
Para determinar los grupos a los que pertenecen las cuentas de usuario, obtenga una lista de los usuarios y los grupos asociados. Ejecute el siguiente comando:
infacmd aud getUserGroupAssociation
Funciones
Para obtener la lista de funciones asociadas a los usuarios y grupos del dominio, ejecute el siguiente comando:
infacmd aud getUserGroupAssociationForRoles
Privilegios
Para obtener una lista de los privilegios asignados a los usuarios y grupos del dominio, ejecute el siguiente comando:
infacmd aud getPrivilegeAssociation
Permisos
Para obtener una lista de los permisos asignados a los usuarios y grupos del dominio, ejecute el siguiente comando:
infacmd aud getDomainObjectPermissions
Permisos de carpetas y objetos globales
Si el dominio contiene un servicio de repositorio de PowerCenter, compruebe los permisos de las carpetas y los objetos de repositorio global de PowerCenter que se han asignado a las cuentas de usuario. El repositorio de PowerCenter puede tener los siguientes objetos:
Tras configurar el dominio para utilizar la autenticación Kerberos, no podrá modificar las cuentas de usuario nativas.
Una vez que confirme que los grupos, las funciones, los privilegios y los permisos de las cuentas de usuario nativas se han migrado a las cuentas de usuario de LDAP correctamente, puede eliminar las cuentas de usuario nativas. Utilice la herramienta del administrador para eliminar las cuentas de usuario. Para obtener más información, consulte Cómo eliminar usuarios nativos.

Paso 3. Configurar el archivo de configuración de Kerberos

Kerberos almacena la información de configuración en un archivo llamado krb5.conf. Informatica necesita establecer determinadas propiedades en el archivo de configuración de Kerberos de manera que el dominio de Informatica pueda utilizar la autenticación Kerberos correctamente. Debe establecer las propiedades del archivo de configuración krb5.conf y, a continuación, copiar el archivo en el directorio de Informatica.
El archivo de configuración contiene la información sobre el servidor de Kerberos, incluidos el dominio de Kerberos y la dirección del KDC. Puede solicitar al administrador de Kerberos que establezca las propiedades del archivo de configuración y que envíe de una copia del archivo.
    1. Realice una copia de seguridad del archivo krb5.conf antes de realizar cambios.
    2. Edite el archivo krb5.conf.
    3. En la sección libdefaults, establezca o añada las propiedades que requiere Informatica.
    La siguiente tabla muestra los valores que debe utilizar para establecer las propiedades de la sección libdefaults:
    Parámetro
    Valor
    default_realm
    Nombre de dominio del servicio del dominio de Informatica.
    forwardable
    Permite que un servicio delegue credenciales de usuario del cliente a otro servicio. Establezca este parámetro como True. El dominio de Informatica requiere que los servicios de aplicación autentiquen las credenciales de usuario del cliente con otros servicios.
    default_tkt_enctypes
    Tipo de cifrado de la clave de sesión en el vale de concesión de vales (TGT). Establezca este parámetro como rc4-hmac. Informatica solo es compatible con el tipo de cifrado rc4-hmac.
    udp_preference_limit
    Determina el protocolo que utiliza Kerberos cuando envía un mensaje al KDC. Establezca udp_preference_limit = 1 para usar TCP siempre. El dominio de Informatica solo es compatible con el protocolo TCP. Si udp_preference_limit está establecido en cualquier otro valor, el dominio de Informatica puede cerrarse de forma inesperada.
    4. En la sección de dominios, incluya el número de puerto en la dirección del KDC separado por dos puntos.
    Por ejemplo, si la dirección del KDC es kerberos.example.com y el número de puerto es 88, establezca el parámetro kdc como se indica a continuación:
    kdc = kerberos.example.com:88
    5. Guarde el archivo krb5.conf.
    6. Copie el archivo de configuración en el directorio de Informatica.
    Debe copiar krb5.conf en el directorio siguiente: <INFA_HOME>/services/shared/security.
    Si el dominio tiene varios nodos, copie krb5.conf en el mismo directorio en todos los nodos del dominio.
El siguiente ejemplo muestra el contenido de un krb5.conf con las propiedades requeridas:
[libdefaults]
default_realm = AFNIKRB.AFNIDEV.COM
forwardable = true
default_tkt_enctypes = rc4-hmac
udp_preference_limit = 1

[realms]
AFNIKRB.AFNIDEV.COM = {
admin_server = SMPLKERDC01.AFNIKRB.AFNIDEV.COM
kdc = SMPLKERDC01.AFNIKRB.AFNIDEV.COM:88
}

[domain_realm]
afnikrb.afnidev.com = AFNIKRB.AFNIDEV.COM
.afnikrb.afnidev.com = AFNIKRB.AFNIDEV.COM
Para obtener más información sobre el archivo de configuración de Kerberos, consulte la documentación de autenticación red Kerberos.

Paso 4. Generar el formato de nombre principal y de tabla de claves

Si ejecuta el dominio de Informatica con autenticación Kerberos, debe asociar los nombres principales de servicio (SPN) y los archivos de tabla de claves de Kerberos a los nodos y procesos del dominio de Informatica. Informatica necesita archivos de tabla de claves para autenticar servicios en la red sin solicitar contraseñas.
Según los requisitos de seguridad del dominio, puede establecer el nivel principal de servicio en uno de los siguientes niveles:
Nivel de nodo
Si el dominio se utiliza para pruebas o desarrollo y no requiere un alto nivel de seguridad, puede configurar el principal del servicio a nivel de nodo. Puede utilizar un SPN y un archivo de tabla de claves para el nodo y todos los procesos del servicio del nodo. También debe configurar otro SPN y un archivo de tabla de claves diferente para los procesos HTTP del nodo.
Nivel de proceso
Si el dominio se utiliza para producción y requiere un alto nivel de seguridad, puede configurar el principal del servicio a nivel de proceso. Cree un SPN y un archivo de tabla de claves únicos para cada nodo y cada proceso del nodo. También debe configurar otro SPN y un archivo de tabla de claves diferente para los procesos HTTP del nodo.
El dominio de Informatica requiere que los nombres principales del servicio y del archivo de claves tengan un determinado formato. Para garantizar que tengan el formato correcto para los nombres de archivo del nombre de servicio principal y de claves, utilice SPN Format Generator de Informatica Kerberos para generar una lista de los nombres de archivo de los nombres de servicio principal y de claves en el formato requerido por el dominio de Informatica.

Requisitos de principal de servicio a nivel de nodo

Si el dominio de Informatica no requiere un alto nivel de seguridad, el nodo y los procesos del servicio pueden compartir los mismos SPN y archivos de tabla de claves. El dominio no requiere un SPN independiente para cada proceso de servicio en un nodo.
El dominio de Informatica requiere un SPN y un archivo de tabla de claves para los siguientes componentes a nivel de nodo:
Nombre distintivo (DN) principal del servicio de directorio de LDAP
El nombre principal del usuario de enlace de DN que se utiliza para realizar búsquedas en el servicio de directorio LDAP. El nombre del archivo de claves debe ser infa_ldapuser.keytab.
Proceso de nodo
El nombre principal del nodo de Informatica que inicia o acepta las llamadas de autenticación. El mismo nombre principal se utiliza para autenticar los servicios en el nodo. Cada nodo de puerta de enlace del dominio requiere un nombre principal independiente.
Procesos HTTP en el dominio
El nombre principal de todos los servicios de aplicación web en el dominio de Informatica, incluido Informatica Administrator. El navegador utiliza este nombre principal para autenticar todos los procesos de HTTP en el dominio. El nombre del archivo de claves debe ser webapp_http.keytab.

Requisitos de principal de servicio a nivel de proceso

Si el dominio de Informatica requiere un alto nivel de seguridad, cree otro SPN y un archivo de tabla de claves diferente para cada nodo y cada servicio del nodo.
El dominio de Informatica requiere un SPN y un archivo de tabla de claves para los siguientes componentes a nivel de proceso:
Nombre distintivo (DN) principal del servicio de directorio de LDAP
El nombre principal del usuario de enlace de DN que se utiliza para realizar búsquedas en el servicio de directorio LDAP. El nombre del archivo de claves debe ser infa_ldapuser.keytab.
Proceso de nodo
El nombre principal del nodo de Informatica que inicia o acepta las llamadas de autenticación.
Servicio de Informatica Administrator
El nombre principal del servicio de Informatica Administrator que autentica el servicio con otros servicios del dominio de Informatica. El nombre del archivo de tabla de claves debe ser _AdminConsole.keytab.
Procesos HTTP en el dominio
El nombre principal de todos los servicios de aplicación web en el dominio de Informatica, incluido Informatica Administrator. El navegador utiliza este nombre principal para autenticar todos los procesos de HTTP en el dominio. El nombre del archivo de claves debe ser webapp_http.keytab.
Proceso de servicio
El nombre principal del servicio de aplicación que se ejecuta en un nodo en el dominio de Informatica. Cada servicio de aplicación necesita un nombre principal de servicio y un nombre de archivo de tabla de claves únicos.

Ejecutar Informatica Kerberos SPN Format Generator en Windows

Puede ejecutar Informatica Kerberos SPN Format Generator para generar un archivo que muestre el formato correcto de los nombres SPN y de los archivos de tabla de claves requeridos en el dominio de Informatica.
    1. En un equipo que aloje el nodo de Informatica, vaya al siguiente directorio de Informatica: <DirectorioDeInformatica>/Tools/Kerberos
    2. Ejecute el archivo SPNFormatGenerator.bat.
    Se abre la página de bienvenida de Informatica Kerberos SPN Format Generator.
    3. Haga clic en Siguiente.
    Aparecerá la página Nivel principal de servicio.
    4. Seleccione el nivel en el que se establecerán los principales del servicio de Kerberos del dominio.
    La siguiente tabla describe los niveles que puede seleccionar:
    Nivel
    Descripción
    Nivel de proceso
    Configura el dominio para usar un nombre principal de servicio (SPN) y un archivo de claves únicos para cada nodo y cada servicio de aplicación en un nodo.
    El número de SPN y de archivos de tabla de claves necesarios para cada nodo depende del número de procesos del servicio de aplicación que se ejecutan en el nodo. Utilice la opción de nivel de proceso para los dominios que requieran un alto nivel de seguridad, como los dominios de producción.
    Nivel de nodo
    Configura el dominio para compartir archivos de SPN y de claves en un nodo.
    Esta opción requiere un SPN y un archivo de tabla de claves para el nodo y todos los servicios de aplicación que se ejecutan en el nodo. También se necesita otro SPN y un archivo de tabla de claves para todos los procesos de HTTP en el nodo.
    Utilice la opción de nivel de nodo para los dominios que no requieren un alto nivel de seguridad, como los dominios de pruebas y desarrollo.
    5. Haga clic en Siguiente.
    Aparecerá la página Parámetros de autenticación: autenticación Kerberos.
    6. Introduzca los parámetros de dominio y nodo para generar el formato de SPN.
    La siguiente tabla describe los parámetros que debe especificar:
    Solicitud
    Descripción
    Nombre del dominio
    Nombre del dominio. El nombre no debe superar los 128 caracteres y debe ser ASCII de 7 bits. No puede contener espacios ni los siguientes caracteres: ` % * + ; " ? , < > \ /
    Nombre del nodo
    Nombre del nodo de Informatica.
    Nombre de host del nodo
    El nombre de host totalmente cualificado o la dirección IP del equipo en el que desea crear el nodo. El nombre de host del nodo no puede contener el carácter de subrayado (_).
    Nota: No utilice localhost. El nombre de host debe identificar el equipo de forma explícita.
    Nombre del dominio de servicio
    Nombre del dominio de Kerberos de los servicios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas.
    Si establece el principal de servicio a nivel de nodo, la utilidad mostrará el botón +Nodo. Si establece el principal de servicio a nivel de proceso, la utilidad mostrará los botones +Nodo y +Servicio.
    7. Para generar el formato de SPN para un nodo adicional, haga clic en +Nodo y especifique el nombre de nodo y el nombre de host.
    Puede especificar varios nodos para un dominio.
    8. Para generar el formato de SPN para un servicio, haga clic en +Servicio y especifique el nombre de servicio en el campo Servicio en el nodo.
    El campo Servicio en el nodo solo se muestra si establece el principal de servicio a nivel de proceso y hace clic en +Servicio. Puede especificar varios servicios para un nodo. Los servicios aparecerán de forma inmediata debajo del nodo en el que se ejecutan.
    9. Para quitar un nodo de la lista, haga clic en -Nodo.
    Informatica SPN Format Generator eliminará el nodo. Si ha añadido servicios al nodo, los servicios se eliminarán junto con el nodo.
    10. Para quitar un servicio de un nodo, borre el campo de nombre de servicio.
    11. Haga clic en Siguiente.
    SPN Format Generator muestra la ruta de acceso y el nombre del archivo que contiene la lista con los nombres principales de servicio y los de los archivos de tabla de claves.
    12. Haga clic en Terminado para salir de SPN Format Generator.
SPN Format Generator genera un archivo de texto que contiene nombres de archivo de SPN y de claves en el formato requerido para el dominio de Informatica.

Ejecutar Informatica Kerberos SPN Format Generator en UNIX

Puede ejecutar Informatica Kerberos SPN Format Generator para generar un archivo que muestre el formato correcto de los nombres SPN y de los archivos de tabla de claves requeridos en el dominio de Informatica.
    1. En un equipo que aloje el nodo de Informatica, vaya al siguiente directorio de Informatica: <DirectorioDeInformatica>/Tools/Kerberos
    2. En una línea de comandos de shell, ejecute el archivo SPNFormatGenerator.sh.
    3. Pulse Intro para continuar.
    4. En la sección Nivel principal de servicio, seleccione el nivel en el que se establecerán los principales de servicio de Kerberos del dominio.
    La siguiente tabla describe los niveles que puede seleccionar:
    Nivel
    Descripción
    1->Nivel de proceso
    Configura el dominio para usar un nombre principal de servicio (SPN) y un archivo de claves únicos para cada nodo y cada servicio de aplicación en un nodo.
    El número de SPN y de archivos de tabla de claves necesarios para cada nodo depende del número de procesos del servicio de aplicación que se ejecutan en el nodo. Utilice la opción de nivel de proceso para los dominios que requieran un alto nivel de seguridad, como los dominios de producción.
    2->Nivel de nodo
    Configura el dominio para compartir archivos de SPN y de claves en un nodo.
    Esta opción requiere un SPN y un archivo de tabla de claves para el nodo y todos los servicios de aplicación que se ejecutan en el nodo. También se necesita otro SPN y un archivo de tabla de claves para todos los procesos de HTTP en el nodo.
    Utilice la opción de nivel de nodo para los dominios que no requieren un alto nivel de seguridad, como los dominios de pruebas y desarrollo.
    5. Introduzca los parámetros de dominio y nodo necesarios para generar el formato de SPN.
    La siguiente tabla describe los parámetros que debe especificar:
    Solicitud
    Descripción
    Nombre del dominio
    Nombre del dominio. El nombre no debe superar los 128 caracteres y debe ser ASCII de 7 bits. No puede contener espacios ni los siguientes caracteres: ` % * + ; " ? , < > \ /
    Nombre del nodo
    Nombre del nodo de Informatica.
    Nombre de host del nodo
    El nombre de host totalmente cualificado o la dirección IP del equipo en el que desea crear el nodo. El nombre de host del nodo no puede contener el carácter de subrayado (_).
    Nota: No utilice localhost. El nombre de host debe identificar el equipo de forma explícita.
    Nombre del dominio de servicio
    Nombre del dominio de Kerberos de los servicios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas.
    Si establece el principal de servicio a nivel de nodo, aparecerá el mensaje ¿Agregar nodo?. Si establece el principal de servicio a nivel de proceso, aparecerá el mensaje ¿Agregar servicio?.
    6. En el mensaje ¿Agregar nodo?, introduzca 1 para generar el formato de SPN para un nodo adicional. A continuación, introduzca el nombre de nodo y el nombre de host del nodo.
    Para generar los formatos de SPN para varios nodos, introduzca 1 en cada mensaje ¿Agregar nodo? y especifique un nombre de nodo y un nombre de host del nodo.
    7. En el mensaje ¿Agregar servicio?, introduzca 1 para generar el formato de SPN de un servicio que se ejecutará en el nodo anterior. A continuación, introduzca el nombre de servicio.
    Para generar los formatos de SPN para varios servicios, introduzca 1 en cada mensaje ¿Agregar servicio? y especifique un nombre de servicio.
    8. Introduzca 2 para cerrar los mensajes ¿Agregar nodo? o ¿Agregar servicio?.
    SPN Format Generator muestra la ruta de acceso y el nombre del archivo que contiene la lista con los nombres principales de servicio y los de los archivos de tabla de claves.
    9. Pulse Intro para salir de SPN Format Generator.
SPN Format Generator genera un archivo de texto que contiene nombres de archivo de SPN y de claves en el formato requerido para el dominio de Informatica.

Paso 5. Revisar el archivo de texto de formato de SPN y de tabla de claves

Kerberos SPN Format Generator genera un archivo de texto llamado SPNKeytabFormat.txt que muestra el formato requerido por el dominio de Informatica para los nombres principales de servicio y los nombres de archivos de tabla de claves. Los nombres de SPN y de archivo de tabla de claves que incluye la lista varían en función del nivel principal de servicio que seleccione.
Revise el archivo de texto y compruebe que no hay mensajes de error.
El archivo de texto contiene la siguiente información:
Nombre de entidad
Identifica el nodo o el servicio asociado al proceso.
SPN
El formato del SPN en la base de datos principal de Kerberos. El SPN distingue entre mayúsculas y minúsculas. Cada tipo de SPN tiene un formato diferente.
Un SPN puede tener uno de los siguientes formatos:
Tipo de tabla de claves
Formato de SPN
NODE_SPN
isp/<NombreDeNodo>/<NombredeDominio>@<NOMBREREAL>
NODE_AC_SPN
_AdminConsole/<NombreDeNodo>/<NombreDeDominio>@<NOMBREREAL>
NODE_HTTP_SPN
HTTP/<NombreDeHostDeNodo>@<NOMBREREAL>
Nota: Kerberos SPN Format Generator valida el nombre de host del nodo. Si el nombre de host del nodo no es válido, la utilidad no genera un SPN. En su lugar, se muestra el siguiente mensaje: No se puede resolver el nombre de host.
SERVICE_PROCESS_SPN
<NombredeServicio>/<NombreDeNodo>/<NombreDeDominio>@<NOMBREREAL>
Nombre de archivo de tabla de claves
El formato del nombre de archivo de tabla de claves que se creará para el SPN asociado en la base de datos principal de Kerberos. El nombre del archivo de tabla de claves distingue entre mayúsculas y minúsculas.
Los nombres de archivo de tabla de claves utilizan los siguientes formatos:
Tipo de tabla de claves
Nombre de archivo de tabla de claves
NODE_SPN
<NombreDeNodo>.keytab
NODE_AC_SPN
_AdminConsole.keytab
NODE_HTTP_SPN
webapp_http.keytab
SERVICE_PROCESS_SPN
<NombreDeServicio>.keytab
Tipo de tabla de claves
El tipo de la tabla de claves. El tipo de tabla de claves puede ser uno de los siguientes tipos:

Principales de servicio a nivel de nodo

El siguiente ejemplo muestra el contenido del archivo SPNKeytabFormat.txt generado para los principales de servicio a nivel del nodo:
ENTITY_NAME SPN KEY_TAB_NAME KEY_TAB_TYPE
Node01 isp/Node01/InfaDomain@MY.SVCREALM.COM Node01.keytab NODE_SPN
Node01 HTTP/NodeHost01.enterprise.com@MY.SVCREALM.COM webapp_http.keytab NODE_HTTP_SPN
Node02 isp/Node02/InfaDomain@MY.SVCREALM.COM Node02.keytab NODE_SPN
Node02 HTTP/NodeHost02.enterprise.com@MY.SVCREALM.COM webapp_http.keytab NODE_HTTP_SPN
Node03 isp/Node03/InfaDomain@MY.SVCREALM.COM Node03.keytab NODE_SPN
Node03 HTTP/NodeHost03.enterprise.com@MY.SVCREALM.COM webapp_http.keytab NODE_HTTP_SPN

Principales de servicio a nivel de proceso

El siguiente ejemplo muestra el contenido del archivo SPNKeytabFormat.txt generado para los principales de servicio a nivel de proceso:
ENTITY_NAME SPN KEY_TAB_NAME KEY_TAB_TYPE
Node01 isp/Node01/InfaDomain@MY.SVCREALM.COM Node01.keytab NODE_SPN
Node01 _AdminConsole/Node01/InfaDomain@MY.SVCREALM.COM _AdminConsole.keytab NODE_AC_SPN
Node01 HTTP/NodeHost01.enterprise.com@MY.SVCREALM.COM webapp_http.keytab NODE_HTTP_SPN
Node02 isp/Node02/InfaDomain@MY.SVCREALM.COM Node02.keytab NODE_SPN
Node02 _AdminConsole/Node02/InfaDomain@MY.SVCREALM.COM _AdminConsole.keytab NODE_AC_SPN
Node02 HTTP/NodeHost02.enterprise.com@MY.SVCREALM.COM webapp_http.keytab NODE_HTTP_SPN
Service10:Node01 Service10/Node01/InfaDomain@MY.SVCREALM.COM Service10.keytab SERVICE_PROCESS_SPN
Service100:Node02 Service100/Node02/InfaDomain@MY.SVCREALM.COM Service100.keytab SERVICE_PROCESS_SPN
Service200:Node02 Service200/Node02/InfaDomain@MY.SVCREALM.COM Service200.keytab SERVICE_PROCESS_SPN

Paso 6. Crear los archivos de nombres principales de servicio y de tabla de claves

Después de generar la lista de nombres de SPN y de archivos de tabla de claves con el formato requerido por Informatica, envíe una solicitud al administrador de Kerberos para añadir los SPN a la base de datos principal de Kerberos y crear los archivos de tabla de claves.
Utilice las siguientes directrices cuando cree los archivos de SPN y de claves:
El nombre principal de usuario (UPN) debe ser el mismo que el del SPN.
Cuando cree una cuenta de usuario para el servicio principal, debe establecer el UPN con el mismo nombre que el SPN. Los servicios de aplicación del dominio de Informatica pueden actuar como un servicio o un cliente según la operación. Debe configurar el servicio principal para que se pueda identificar por el mismo UPN y SPN.
Una cuenta de usuario debe estar asociada a un solo SPN. No establezca varios SPN para una cuenta de usuario.
Habilite la delegación en Microsoft Active Directory.
Debe habilitar la delegación para todas las cuentas de usuario con principales de servicio utilizados en el dominio de Informatica. En el servicio Microsoft Active Directory, establezca la opción Confiar en este usuario para la delegación a cualquier servicio (solo Kerberos) en cada cuenta de usuario en la que establezca un SPN.
La autenticación delegada ocurre cuando se autentica un usuario en un servicio y este servicio usa las credenciales del usuario autenticado para conectarse a otro servicio. Debido a que los servicios del dominio de Informatica deben conectarse a otros servicios para completar operaciones, el dominio de Informatica requiere que la opción de delegación esté habilitada en Microsoft Active Directory.
Por ejemplo, cuando un cliente de PowerCenter se conecta al Servicio de repositorio de PowerCenter, la cuenta de usuario del cliente se autentica con el nombre principal del Servicio de repositorio de PowerCenter. Cuando el Servicio de repositorio de PowerCenter se conecta al Servicio de integración de PowerCenter, el nombre principal del Servicio de repositorio de PowerCenter puede utilizar las credenciales del usuario para autenticar con el Servicio de integración de PowerCenter. No es necesario que la cuenta de usuario cliente también se autentique con el Servicio de integración de PowerCenter.
Utilice la utilidad ktpass para crear los archivos de clave principal de servicio.
Microsoft Active Directory suministra la utilidad ktpass para crear archivos de claves. Informatica es compatible con autenticación Kerberos solo en Microsoft Active Directory y tiene archivos de claves únicos certificados que se crean con ktpass.
Los archivos de tabla de claves de un nodo deben estar disponibles en el equipo que aloja el nodo. De forma predeterminada, los archivos de tabla de claves se almacenan en el siguiente directorio: <INFA_HOME>/isp/config/keys.
Cuando reciba los archivos de tabla de claves del administrador de Kerberos, cópielos en el directorio especificado para los archivos de tabla de claves utilizados en el dominio de Informatica.

Solucionar problemas de los nombres principales de servicio y los archivos de tabla de claves

Puede usar utilidades de Kerberos para comprobar que los nombres principales de servicio y los nombres de archivo de tabla de claves creados por el administrador de Kerberos coinciden con los nombres que se han solicitado. También puede usar las utilidades para determinar el estado del centro de distribución de claves de Kerberos (KDC).
Puede usar las utilidades de Kerberos, comosetspn, kinit y klist, para ver y comprobar los SPN y los archivos de tabla de claves. Para usar las utilidades, asegúrese de que la variable de entorno KRB5_CONFIG contiene la ruta de acceso y el nombre de archivo del archivo de configuración de Kerberos.
Nota: Los siguientes ejemplos muestran formas de usar las utilidades de Kerberos para comprobar que los SPN y los archivos de tabla de claves son válidos. Puede que los ejemplos sean diferentes del modo en que el administrador de Kerberos usa las utilidades para crear los SPN y los archivos de tabla de claves necesarios para el dominio de Informatica. Para obtener más información sobre la ejecución de las utilidades de Kerberos, consulte la documentación de Kerberos.
Use las siguientes utilidades para comprobar los SPN y los archivos de tabla de claves:
klist
Puede usar klist para enumerar los principales de Kerberos y las claves en un archivo de tabla de claves. Para enumerar las claves en el archivo de tabla de claves y la marca de tiempo de la entrada de tabla de claves, ejecute el siguiente comando:
klist -k -t <keytab_file>
El siguiente ejemplo de una salida muestra los principales en un archivo de tabla de claves:
Keytab name: FILE:int_srvc01.keytab
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
3 12/31/69 19:00:00 int_srvc01/node01_vMPE/Domn96_vMPE@REALM
kinit
Puede usar kinit para solicitar un ticket que otorga tickets para una cuenta de usuario para comprobar que el KDC funciona y puede conceder tickets. Para solicitar un ticket que otorga tickets para una cuenta de usuario, ejecute el siguiente comando:
kinit <user_account>
También puede usar kinit para solicitar un ticket que otorga tickets y comprobar que el archivo de tabla de claves se puede utilizar para establecer una conexión de Kerberos. Para solicitar un ticket que otorga tickets para un SPN, ejecute el siguiente comando:
kinit -V -k -t <keytab_file> <SPN>
El siguiente ejemplo de una salida muestra el ticket que otorga tickets creado en la memoria caché predeterminada para un archivo de tabla de claves y un SPN específicos:
Using default cache: /tmp/krb5cc_10000073
Using principal: int_srvc01/node01_vMPE/Domn96_vMPE@REALM
Using keytab: int_srvc01.keytab
Authenticated to Kerberos v5
setspn
Puede usar setspn para ver, modificar o eliminar el SPN de una cuenta de servicio de Active Directory. En el equipo que aloja el servicio de Active Directory, abra una ventana de la línea de comandos y ejecute el comando.
Para ver los SPN que están asociados a una cuenta de usuario, ejecute el siguiente comando:
setspn -L <user_account>
El siguiente ejemplo de una salida muestra el SPN asociado a la cuenta de usuario is96svc:
Registered ServicePrincipalNames for CN=is96svc,OU=AllSvcAccts,OU=People,
DC=ds,DC=intrac0rp,DC=zec0rp:
int_srvc01/node02_vMPE/Domn96_vMPE
Para ver las cuentas de usuario asociadas a un SPN, ejecute el siguiente comando:
setspn -Q <SPN>
El siguiente ejemplo de una salida muestra la cuenta de usuario asociada al SPN int_srvc01/node02_vMPE/Domn96_vMPE:
Checking domain DC=ds,DC=intrac0rp,DC=zec0rp
CN=is96svc,OU=AllSvcAccts,OU=People,DC=ds,DC=intrac0rp,DC=zec0rp
int_srvc01/node02_vMPE/Domn96_vMPE

Existing SPN found!
Para buscar SPN duplicados, ejecute el siguiente comando:
setspn -X
El siguiente ejemplo de una salida muestra varias cuentas de usuario asociadas a un SPN:
Checking domain DC=ds,DC=intrac0rp,DC=zec0rp
Processing entry 1125
HOST/mtb01.REALM is registered on these accounts:
CN=Team1svc,OU=AllSvcAccts,OU=People,DC=ds,DC=intrac0rp,DC=zec0rp
CN=MTB1svc,OU=IIS,OU=WPC960K3,OU=WINServers,DC=ds,DC=intrac0rp,DC=zec0rp
Nota: La búsqueda de SPN duplicados puede tardar bastante y consumir una gran cantidad de memoria.
kdestroy
Puede usar kdestroy para eliminar los tickets de autorización de Kerberos activos y la memoria caché de credenciales de usuario donde están alojados. Si ejecuta kdestroy sin parámetros, eliminará la memoria caché de credenciales predeterminada.

Paso 7. Configurar la autenticación Kerberos del dominio

Ejecute infasetup para cambiar la autenticación del dominio de Informatica a la autenticación de red Kerberos.
Nota: Compruebe que todos los objetos del repositorio están protegidos antes de configurar el dominio para utilizar la autenticación Kerberos.
Cuando ejecuta el comando infasetup para cambiar la autenticación del dominio, el comando crea los siguientes dominios de seguridad de LDAP:
El comando infasetup también crea una cuenta de usuario administrador. Especifique el nombre de usuario del usuario administrador. Después de configurar la autenticación Kerberos, el dominio de seguridad _infaInternalNamespace contiene la cuenta de usuario administrador.
Para configurar el dominio para utilizar autenticación Kerberos, ejecute el siguiente comando:

infasetup switchToKerberosMode

    1. En el nodo de puerta de enlace, ejecute el comando infasetup para cambiar la autenticación del dominio.
    En el símbolo del sistema, vaya al directorio en el que se encuentran los programas de la línea de comandos de Informatica. De forma predeterminada, los programas de la línea de comandos están instalados en el siguiente directorio: <InformaticaInstallationDir>/isp/bin
    2. Ejecute el comando infasetup con las opciones y los argumentos requeridos.
    Especifique los siguientes comandos:
    La siguiente tabla describe las opciones para el comando switchToKerberosMode:
    Opción
    Argumento
    Descripción
    -administratorName
    -ad
    administrator_name
    El nombre de usuario de la cuenta de administrador del dominio que se crea al configurar la autenticación Kerberos. La cuenta de usuario debe estar en la base de datos principal de Kerberos.
    Después de configurar la autenticación Kerberos, este usuario se incluye en el dominio de seguridad _infaInternalNamespace.
    -ServiceRealmName
    -srn
    realm _name_of_node_spn
    Nombre del dominio de Kerberos al que pertenecen los servicios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas y distingue mayúsculas de minúsculas.
    El nombre del dominio del servicio y el del dominio del usuario deben coincidir.
    -UserRealmName
    -urn
    realm _name_of_user_spn
    Nombre del dominio de Kerberos al que pertenecen los usuarios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas y distingue mayúsculas de minúsculas.
    El nombre del dominio del servicio y el del dominio del usuario deben coincidir.
    -SPNShareLevel
    -spnSL
    PROCESS |NODE
    El nivel principal de servicio del dominio. Establezca la propiedad en uno de los siguientes niveles:
    • - Proceso. El dominio necesita un nombre principal de servicio (SPN) y un archivo de tabla de claves únicos para cada nodo y cada servicio en un nodo. El número de SPN y de archivos de tabla de claves necesarios para cada nodo depende del número de procesos del servicio que se ejecutan en el nodo. Utilice la opción de nivel de proceso si el dominio requiere un alto nivel de seguridad, como en el caso de un dominio de producción.
    • - Nodo. El dominio utiliza un SPN y un archivo de tabla de claves para el nodo y todos los servicios que se ejecutan en el nodo. También se necesita otro SPN y un archivo de tabla de claves para todos los procesos de HTTP en el nodo. Utilice la opción de nivel de nodo si el dominio no requiere un alto nivel de seguridad, como en el caso de un dominio de pruebas o de desarrollo.
    El valor predeterminado es el proceso.
El comando switchToKerberosMode cambia el modo de autenticación para el dominio de autenticación de usuario nativa o autenticación de usuario de LDAP a autenticación de red de Kerberos.

Paso 8. Actualizar los nodos del dominio

Ejecute el comando infasetup para actualizar todos los nodos del dominio con la información del servidor de autenticación Kerberos.
Actualice todos los nodos de puerta de enlace y de trabajo con la información del servidor de autenticación Kerberos excepto el nodo de puerta de enlace en el que se ejecuta el comando switchToKerberosMode.
Para actualizar la puerta de enlace y los nodos de trabajo, utilice los siguientes comandos:
infasetup UpdateGatewayNode
Utilice el comando UpdateGatewayNode para establecer los parámetros de autenticación Kerberos en un nodo de puerta de enlace del dominio. Si el dominio tiene varios nodos de puerta de enlace, ejecute el comando UpdateGatewayNode en cada nodo de puerta de enlace.
infasetup UpdateWorkerNode
Utilice el comando UpdateWorkerNode para establecer los parámetros de autenticación Kerberos en un nodo de trabajo del dominio. Si el dominio tiene varios nodos de trabajo, ejecute el comando UpdateWorkerNode en cada nodo de trabajo.
    1. En un equipo que aloja un nodo de Informatica, ejecute el comando infasetup para actualizar el nodo.
    En el símbolo del sistema, vaya al directorio en el que se encuentran los programas de la línea de comandos de Informatica. De forma predeterminada, los programas de la línea de comandos están instalados en el siguiente directorio: <InformaticaInstallationDir>/isp/bin
    2. Ejecute infasetup con las opciones y argumentos requeridos.
    Introduzca el siguiente comando:
    La siguiente tabla describe las opciones para actualizar la información de autenticación Kerberos para un nodo:
    Opción
    Argumento
    Descripción
    -EnableKerberos
    -krb
    enable_kerberos
    Configura el dominio de Informatica para utilizar la autenticación Kerberos.
    -ServiceRealmName
    -srn
    realm _name_of_node_spn
    Nombre del dominio de Kerberos al que pertenecen los servicios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas y distingue mayúsculas de minúsculas.
    El nombre del dominio del servicio y el del dominio del usuario deben coincidir.
    -UserRealmName
    -urn
    realm _name_of_user_spn
    Nombre del dominio de Kerberos al que pertenecen los usuarios del dominio de Informatica. El nombre del dominio debe escribirse en mayúsculas y distingue mayúsculas de minúsculas.
    El nombre del dominio del servicio y el del dominio del usuario deben coincidir.

Paso 9. Actualizar los equipos cliente

Copie el archivo de configuración de Kerberos y establezca la variable de entorno en los equipos que alojan los clientes de Informatica. También deberá configurar el navegador para que acceda a las aplicaciones web de Informatica.
Tras configurar el dominio de Informatica para ejecutar la autenticación Kerberos, realice las siguientes tareas en las herramientas de cliente de Informatica:
Copie el archivo de configuración de Kerberos a los equipos cliente.
Copie el archivo de configuración en cada equipo que aloja un cliente de Informatica. Debe copiar el archivo krb5.conf en el siguiente directorio: <Directorio del cliente de Informatica>/shared/security
Configure las variables de entorno KRB5_CONFIG utilizando el archivo de configuración de Kerberos.
Utilice la variable de entorno KRB5_CONFIG para almacenar la ruta de acceso y el nombre del archivo de configuración de Kerberos, krb5.conf. Debe establecer la variable de entorno KRB5_CONFIG en cada equipo que hospede un cliente de Informatica.
Configure el navegador web.
Si el dominio de Informatica se ejecuta en una red con autenticación Kerberos, deberá configurar el navegador para permitir el acceso a las aplicaciones web de Informatica. En Microsoft Internet Explorer y en Google Chrome, añada la URL de la aplicación web de Informatica a la lista de sitios de confianza. Si utiliza Chrome 41 o posterior, también debe definir las directivas AuthServerWhitelist y AuthNegotiateDelegateWhitelist.
En UNIX, cree un archivo de memoria caché de credenciales para inicios de sesión únicos
Para ejecutar los programas de la línea de comandos de Informatica en UNIX con inicio de sesión único, debe generar un archivo de memoria caché de credenciales para autenticar la cuenta de usuario que ejecuta los comandos en la red de Kerberos. Utilice la utilidad kinit de MIT Kerberos para generar el archivo de memoria caché de credenciales. El archivo de memoria caché de credenciales permite que un usuario ejecute los comandos sin las opciones de nombre de usuario y contraseña.
Si utiliza un archivo de memoria caché de credenciales, debe establecer la ruta predeterminada y el nombre de archivo de la memoria caché de credenciales en la variable de entorno KRB5CCNAME.
Para obtener más información sobre la ejecución de los programas de la línea de comandos de Informatica en UNIX con inicio de sesión único, consulte Referencia de comando de Informatica.

Paso 10. Iniciar el dominio de Informatica

Tras configurar el dominio de Informatica para utilizar la autenticación Kerberos, inicie el dominio y la herramienta Administrator.
    1. En Windows, puede iniciar el servicio de Informatica desde el Panel de control o el menú Inicio.
    Para iniciar Informatica desde el menú Inicio de Windows, haga clic en Programas > Informatica [versión] > Servidor. Haga clic con el botón derecho en Iniciar servicios de Informatica y seleccione Ejecutar como administrador.
    En UNIX, ejecute el siguiente comando para iniciar el daemon de Informatica:
    infaservice.sh startup
    De forma predeterminada, infaservice.sh se instala en el siguiente directorio: <INFA_HOME>/tomcat/bin
    2. Inicie Informatica Administrator.
    Utilice la siguiente URL para iniciar la herramienta del administrador: http://<nombre de host completo>:<puerto http>. Si ha configurado la herramienta del administrador para utilizar una conexión segura, utilice el protocolo HTTPS: https://<nombre de host completo>:<puerto http>
    Al iniciar la herramienta Administrator, deberá añadir la URL a la lista de sitios de confianza del navegador.
    3. Seleccione el dominio de seguridad para su cuenta de usuario.
    Si utiliza la autenticación Kerberos, la red utiliza el inicio de sesión único. No necesita iniciar sesión en la herramienta Administrator con un nombre de usuario y una contraseña.

Después de configurar la autenticación Kerberos

Si el nivel principal de servicio del dominio está a nivel de proceso, el dominio requerirá un SPN y un archivo de tabla de claves para cada servicio que cree en el dominio. Antes de habilitar un servicio, compruebe que hay un SPN y un archivo de tabla de claves disponible para el servicio. Kerberos no puede autenticar el servicio de aplicación si no tiene un archivo de tabla de claves en el directorio de Informatica.
Si no hay ningún SPN ni archivos de tabla de claves disponibles para los servicios de aplicación que va a crear en el dominio, debe crear el SPN y el archivo de tabla de claves antes de habilitar el servicio. Puede utilizar Informatica Kerberos SPN Format Generator para generar el formato del SPN y del nombre de archivo de tabla de claves del servicio. Para ahorrar tiempo, piense en los nombres de los servicios que quiera crear y los nodos en los que se ejecutarán. A continuación, ejecute la utilidad para generar a la vez el formato del SPN y del nombre de archivo de tabla de claves de todos los servicios.
Para obtener más información sobre Informatica Kerberos SPN Format Generator, consulte Paso 4. Generar el formato de nombre principal y de tabla de claves.
Envíe una solicitud al administrador de Kerberos para añadir los SPN a la base de datos principal y crear el archivo de tabla de claves correspondiente.
Cuando reciba los archivos de tabla de claves del administrador de Kerberos, copie los archivos en el directorio especificado para el archivo de tabla de claves. De forma predeterminada, los archivos de tabla de claves se almacenan en el siguiente directorio: <INFA_HOME>/isp/config/keys
Si el nivel principal de servicio del dominio está a nivel de nodo, puede crear y habilitar los servicios de aplicación sin crear SPN ni archivos de tabla de claves adicionales.