Almacenamiento de datos seguro
Informatica cifra los datos confidenciales, como las contraseñas y los parámetros de conexión segura, antes de almacenar los datos en el repositorio de configuración del dominio. Informatica utiliza una palabra clave que se proporcione para crear una clave de cifrado con la que se cifrarán los datos confidenciales.
Durante la instalación, debe proporcionar una palabra clave que el programa de instalación utilice para generar la clave de cifrado para el dominio. Todos los nodos de un dominio deben utilizar la misma clave de cifrado. Si instala varios nodos, el programa de instalación utiliza la misma clave de cifrado para todos los nodos del dominio. Para obtener más información sobre cómo generar una clave de cifrado para el dominio durante la instalación, consulte las guías de instalación de Informatica.
Tras la instalación, puede cambiar la clave de cifrado para el dominio. Ejecute el comando infasetup para generar una clave de cifrado y cambiar la clave de cifrado para el dominio. Después de cambiar la clave de cifrado para el dominio, debe actualizar el contenido de los repositorios del dominio para actualizar los datos cifrados.
Nota: Debe conservar en una ubicación segura el nombre del dominio, la palabra clave para la clave de cifrado y el archivo de clave de cifrado. El nombre del dominio, la palabra clave y la clave de cifrado son necesarios para cambiar la clave de cifrado para el dominio o mover un repositorio a otro dominio. Si se pierde el archivo de clave de cifrado, necesitará la palabra clave para generar la clave de cifrado de nuevo. Si se pierde la palabra clave y la clave de cifrado, no podrá cambiar la clave de cifrado para el dominio ni mover un repositorio a otro dominio.
Directorio seguro en UNIX
Al instalar Informatica, el programa de instalación crea un directorio para almacenar los archivos de Informatica que requieren acceso restringido, tales como el archivo de clave de cifrado del dominio. En UNIX, el programa de instalación asigna diferentes permisos para el directorio y los archivos del directorio.
De forma predeterminada, el programa de instalación crea el siguiente directorio en el directorio de instalación de Informatica para almacenar la clave de cifrado: <INFA_HOME>/isp/config/keys
El directorio /keys contiene el archivo de clave de cifrado del nodo. Si configura el dominio para usar la autenticación Kerberos, el directorio también contiene los archivos de tabla de claves de Kerberos.
Durante la instalación, puede especificar un directorio diferente en el que almacenar el archivo de cifrado. El programa de instalación asigna los mismos permisos al directorio especificado como directorio predeterminado.
El directorio /keys y los archivos del directorio tienen los siguientes permisos:
- Permisos de directorios
- El propietario del directorio tiene los permisos -wx en el directorio, pero no el permiso r. El propietario del directorio es la cuenta de usuario utilizada para ejecutar el programa de instalación. El grupo al que pertenece el propietario también tiene permisos los -wx en el directorio, pero no el permiso r.
Por ejemplo, la cuenta de usuario ediqa posee el directorio y pertenece al grupo infaadmin. La cuenta de usuario ediqa y el grupo infaadmin tienen los siguientes permisos: -wx-wx---
La cuenta de usuario ediqa y el grupo infaadmin pueden escribir en el directorio y ejecutar los archivos del directorio. No pueden mostrar la lista de archivos del directorio, pero pueden indicar un archivo específico por nombre.
- Si conoce el nombre de un archivo en el directorio, puede copiar el archivo del directorio a otra ubicación. Si no conoce el nombre del archivo, deberá cambiar el permiso del directorio para que incluya el permiso de lectura antes de poder copiar el archivo. Puede utilizar el comando chmod 730 para conceder permiso de lectura al propietario del directorio y los subdirectorios.
Por ejemplo, deberá copiar el archivo de clave de cifrado llamado siteKey en un directorio temporal para que sea accesible a otro nodo del dominio. Ejecute el comando chmod 730 en el directorio <directorio de instalación de Informatica>/isp/config para asignar los siguientes permisos: rwx-wx---. A continuación podrá copiar el archivo de clave de cifrado del subdirectorio /keys en otro directorio.
Después de terminar de copiar los archivos, vuelva a cambiar los permisos del directorio a escritura y ejecute los permisos. Puede utilizar el comando chmod 330 para quitar el permiso de lectura.
Nota: No utilice la opción -R para cambiar recursivamente los permisos del directorio y de los archivos. El directorio y los archivos del directorio tienen permisos distintos.
- Permisos de archivos
- El propietario de los archivos del directorio tiene los permisos rwx en los archivos. El propietario de los archivos del directorio es la cuenta de usuario utilizada para ejecutar el programa de instalación. El grupo al que pertenece el propietario también tiene los permisos rwx en los archivos del directorio.
El propietario y el grupo tienen acceso total al archivo y pueden mostrar o editar el archivo en el directorio.
Nota: Debe conocer el nombre del archivo para poder enumerar o editar el archivo.
Cambiar la clave de cifrado desde la línea de comandos
Después de la instalación, puede cambiar la clave de cifrado para el dominio desde la línea de comandos. Debe cerrar el dominio antes de cambiar la clave de cifrado.
Utilice el comando infasetup para generar una clave de cifrado y configure el dominio para utilizar la nueva clave de cifrado.
Los siguientes comandos infasetup generan y cambian la clave de cifrado:
- generateEncryptionKey
- Genera una clave de cifrado en un archivo denominado sitekey. Si el directorio especificado para la clave de cifrado contiene un archivo llamado sitekey, Informatica cambia el nombre del archivo a siteKey_old.
- migrateEncryptionKey
- Cambia la clave de cifrado utilizada para almacenar datos confidenciales en el dominio de Informatica.
Nota: Si el dominio contiene un Servicio de informes, no cambie la clave de cifrado. El comando migrateEncryptionKey generará un error si el dominio contiene un Servicio de informes.
Para cambiar la clave de cifrado de un dominio, complete los pasos siguientes:
1. Cierre el dominio.
2. Haga una copia de seguridad del dominio antes de cambiar la clave de cifrado.
Para asegurarse de que puede recuperar el dominio en caso de tener problemas al cambiar la clave de cifrado, realice una copia de seguridad del dominio antes de ejecutar los comandos infasetup.
3. Para generar una clave de cifrado para el dominio, ejecute el comando infasetup generateEncryptionKey.
Especifique las siguientes opciones, necesarias para generar una clave de cifrado:
Opción | Argumento | Descripción |
|---|
-keyword -kw | keyword | La cadena de texto que se utiliza como palabra base a partir de la cual se genera una clave de cifrado. La palabra clave debe cumplir los siguientes criterios: - - De 8 a 20 caracteres de longitud
- - Incluye, al menos, una letra mayúscula
- - Incluye, al menos, una letra minúscula
- - Incluye, al menos, un número
- - No contiene espacios
|
-domainName -dn | domain_name | Nombre de dominio de Informatica. |
-encryptionKeyLocation -kl | encryption_key_location | Directorio que contiene la clave de cifrado actual. El nombre del archivo de cifrado es sitekey. Informatica cambia el nombre del archivo sitekey actual a sitekey_old y genera una clave de cifrado en un archivo nuevo denominado sitekey en el mismo directorio. |
4. Para cambiar la clave de cifrado del dominio, ejecute el comando infasetup migrateEncryptionKey y especifique la ubicación de la clave de cifrado antigua y de la nueva.
Especifique las siguientes opciones, necesarias para cambiar la clave de cifrado del dominio:
Opción | Argumento | Descripción |
|---|
-LocationOfEncryptionKeys -loc | location_of_encryption_keys | Directorio donde se almacenan el archivo con la clave de cifrado antigua, llamado siteKey_old, y el archivo con la clave de cifrado nueva, llamado siteKey. El directorio debe contener los archivos con la clave de cifrado antigua y la nueva. Si los archivos con la clave de cifrado antigua y la nueva se almacenan en directorios diferentes, copie los archivos con las claves de cifrado en el mismo directorio. Si el dominio tiene varios nodos, cualquiera de los nodos del dominio donde se ejecute el comando migrateEncryptionKey debe poder acceder a este directorio. Nota: En UNIX, el nombre de archivo siteKey_old distingue entre mayúsculas y minúsculas. Si cambia el nombre del archivo de clave de cifrado anterior de forma manual, compruebe que el nombre de archivo tiene el formato de mayúsculas y minúsculas correcto. |
-IsDomainMigrated -mig | is_domain_migrated | Indica si el dominio se ha actualizado para utilizar la clave de cifrado más reciente. Cuando ejecute el comando migrateEncryptionKey por primera vez, establezca esta opción en False para indicar que el dominio utiliza la clave de cifrado antigua. Tras la primera vez, cuando ejecute el comando migrateEncryptionKey para actualizar otros nodos del dominio, establezca esta opción en True para indicar que el dominio se ha actualizado para utilizar la clave de cifrado más reciente. O bien, puede ejecutar el comando migrateEncryptionKey sin esta opción. El valor predeterminado es True. |
5. Ejecute el comando infasetup en cada nodo del dominio.
Si el dominio tiene varios nodos, ejecute infasetup migrateEncryptionKey en cada nodo. Ejecute el comando en los nodos de puerta de enlace antes de ejecutar el comando en los nodos de trabajo. Puede omitir la opción IsDomainMigrated después de la primera vez que ejecute el comando.
6. Reinicie el dominio.
Debe actualizar todos los servicios de repositorio del dominio para actualizar y cifrar los datos confidenciales de los repositorios con la nueva clave de cifrado.
7. Actualice todos los Servicios de repositorio de modelos, los Servicios de repositorio de PowerCenter y los Servicios de Metadata Manager.
Los Servicios de repositorio de modelos y los Servicios de repositorio de PowerCenter se pueden actualizar en la herramienta del administrador o en la línea de comandos. El Servicio de Metadata Manager se puede actualizar en la herramienta del administrador.
Nota: El Servicio de Metadata Manager debe estar deshabilitado para poder actualizarlo.
Para actualizar un servicio en la herramienta del administrador, seleccione Administrar > Actualizar en el área de encabezado. Si selecciona varios servicios, la herramienta del administrador actualizará los servicios en el orden correcto.
Para actualizar un servicio en la línea de comandos, utilice los siguientes comandos:
Tipo de servicio de repositorio | Comando |
|---|
Servicio de repositorio de modelos | infacmd mrs UpgradeContents |
Servicio de repositorio de PowerCenter | pmrep Upgrade |