Aktivieren der Kerberos-Authentifizierung
Sie können Kerberos-Authentifizierung in einer Informatica-Domäne während oder nach der Installation der Informatica-Dienste aktivieren.
Wenn Sie die Kerberos-Authentifizierung während der Installation nicht aktivieren, führen Sie die Schritte in diesem Abschnitt aus, um Informatica-Befehlszeilenprogramme zur Aktivierung der Kerberos-Authentifizierung zu verwenden, nachdem Sie die Dienste installiert haben.
Aktivieren der Kerberos-Authentifizierung in der Domäne
Aktivieren Sie Kerberos auf einem Gateway-Knoten innerhalb der Domäne.
Führen Sie den infasetup-Befehl „switchToKerberosMode“ auf einem Gateway-Knoten innerhalb der Domäne aus, um die Authentifizierung in die Kerberos-Netzwerkauthentifizierung zu ändern.
1Fahren Sie die Domäne und alle Informatica-Dienste herunter. Fahren Sie die Dienste in der nachstehenden Reihenfolge herunter:
- - Metadata Manager-Dienst
- - PowerCenter®-Integrationsdienst
- - PowerCenter®-Repository-Dienst
- - Content-Management-Dienst
- - Analyst-Dienst
- - Datenintegrationsdienst
- - Modellrepository-Dienst
2Wechseln Sie an der Eingabeaufforderung auf einem Gateway-Knoten zu dem Verzeichnis, in dem sich die ausführbare infasetup-Datei befindet:
<Informatica-Installationsverzeichnis>\isp\bin
3Führen Sie den folgenden Befehl aus:
infasetup switchToKerberosMode -ad <administrator name> -srn <Kerberos realm names> -urn <Kerberos realm names> -spnSL <service principal level>
In der folgenden Tabelle werden die Optionen und Argumente für den Befehl „infasetup switchToKerberosMode“ beschrieben:
Option | Argument | Beschreibung |
|---|
-administratorName -ad | user_name | Benutzername für das Domänenadministrator-Konto, das beim Konfigurieren der Kerberos-Authentifizierung erstellt wird. Geben Sie den Namen eines Kontos an, das in Active Directory vorhanden ist. Nachdem Sie die Kerberos-Authentifizierung konfiguriert haben, wird dieser Benutzer in die Sicherheitsdomäne _infaInternalNamespace aufgenommen, die vom Befehl erstellt wird. Wenn in der Domäne ein einzelner Kerberos-Bereich zum Authentifizieren der Benutzer verwendet wird, geben Sie den Namen „samAccount“ des Kontos an, das als Administratorkonto verwendet werden soll. Wenn in der Domäne die bereichsübergreifende Kerberos-Authentifizierung verwendet wird, geben Sie den vollqualifizierten Benutzerprinzipalnamen einschließlich des Bereichsnamens für das Konto an, das als Administratorkonto verwendet werden soll. Beispiel: sysadmin@COMPANY.COM |
-ServiceRealmName -srn | Kerberos_realm_name | Name des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird. Der Bereichsname muss in Großbuchstaben angegeben werden und unterliegt der Groß-/Kleinschreibung. Zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung geben Sie den Namen des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, getrennt durch Kommas ein. Beispiel: COMPANY.COM,EAST.COMPANY.COM,WEST.COMPANY.COM Verwenden Sie ein Sternchen als Platzhalterzeichen vor dem Bereichsnamen, um alle Bereiche mit diesem Namen einzuschließen. Beispiel: *EAST.COMPANY.COM |
-UserRealmName -urn | Kerberos_realm_name | Name des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird. Der Bereichsname muss in Großbuchstaben angegeben werden und unterliegt der Groß-/Kleinschreibung. Zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung geben Sie den Namen des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, getrennt durch Kommas ein. Beispiel: COMPANY.COM,EAST.COMPANY.COM,WEST.COMPANY.COM Verwenden Sie ein Sternchen als Platzhalterzeichen vor dem Bereichsnamen, um alle Bereiche mit diesem Namen einzuschließen. Beispiel: *EAST.COMPANY.COM |
-SPNShareLevel -spnSL | NODE|PROCESS | Dienstprinzipalebene für die Domäne. Legen Sie NODE fest, um Kerberos auf Knotenebene zu aktivieren. Legen Sie PROCESS fest, um Kerberos auf Prozessebene zu aktivieren. |
Im folgenden Beispiel wird die Domänenauthentifizierung in Kerberos geändert, wobei das sysadmin-Benutzerkonto in einer Domäne, die einen einzelnen Kerberos-Bereich zum Authentifizieren von Benutzern verwendet, als Administratorkonto festgelegt wird:
infasetup switchToKerberosMode -ad sysadmin -srn COMPANY.COM -urn COMPANY.COM –spnSL NODE
Im folgenden Beispiel wird die Domänenauthentifizierung in Kerberos geändert, wobei das sysadmin-Benutzerkonto in einer Domäne, die bereichsübergreifende Kerberos-Authentifizierung verwendet, als Administratorkonto festgelegt wird:
infasetup switchToKerberosMode -ad sysadmin@COMPANY.COM -srn COMPANY.COM,COMPANY.EAST.COM,COMPANY.WEST.COM -urn COMPANY.COM,COMPANY.EAST.COM,COMPANY.WEST.COM –spnSL NODE
Aktualisieren der Knoten in der Domäne
Aktualisieren Sie alle Gateway- und Worker-Knoten mit den Informationen des Kerberos-Authentifizierungsservers, außer den Gateway-Knoten, auf denen Sie den Befehl „switchToKerberosMode“ ausgeführt haben.
Verwenden Sie die folgenden Befehle, um die Gateway- und Worker-Knoten zu aktualisieren:
- infasetup UpdateGatewayNode
- Verwenden Sie den UpdateGatewayNode-Befehl, um die Kerberos-Authentifizierungsparameter auf einem Gateway-Knoten in der Domäne festzulegen. Wenn die Domäne über mehrere Gateway-Knoten verfügt, führen Sie den UpdateGatewayNode-Befehl auf jedem Gateway-Knoten aus.
- infasetup UpdateWorkerNode
- Verwenden Sie den UpdateWorkerNode-Befehl, um die Kerberos-Authentifizierungsparameter auf einem Worker-Knoten in der Domäne festzulegen. Wenn die Domäne mehrere Worker-Knoten aufweist, führen Sie den UpdateWorkerNode-Befehl auf jedem Worker-Knoten aus.
1Wechseln Sie an der Eingabeaufforderung auf einem Knoten zu dem Verzeichnis, in dem sich die ausführbare infasetup-Datei befindet.
<Informatica-Installationsverzeichnis>\isp\bin
2Um die Kerberos-Authentifizierungsparameter auf einem Gateway-Knoten festzulegen, führen Sie den folgenden Befehl aus:
infasetup UpdateGatewayNode -krb <true|false> -srn <Kerberos realm names> -urn <Kerberos realm names>
Um die Kerberos-Authentifizierungsparameter auf einem Worker-Knoten festzulegen, führen Sie den folgenden Befehl aus:
infasetup UpdateWorkerNode -krb <true|false> -srn <Kerberos realm names> -urn <Kerberos realm names>
In der folgenden Tabelle werden die Optionen und Argumente beschrieben, die zur Aktivierung von Kerberos-Authentifizierung auf einem Knoten erforderlich sind:
Option | Argument | Beschreibung |
|---|
-EnableKerberos -krb | true|false | Konfiguriert die Informatica-Domäne zur Verwendung der Kerberos-Authentifizierung. Legen Sie die Eigenschaft auf „true“ fest, um Kerberos-Authentifizierung zu aktivieren. Der Standardwert ist „false“. |
-ServiceRealmName -srn | Kerberos_realm_name | Name des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird. Der Bereichsname muss in Großbuchstaben angegeben werden und unterliegt der Groß-/Kleinschreibung. Zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung geben Sie den Namen des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, getrennt durch Kommas ein. Beispiel: COMPANY.COM,EAST.COMPANY.COM,WEST.COMPANY.COM Verwenden Sie ein Sternchen als Platzhalterzeichen vor dem Bereichsnamen, um alle Bereiche mit diesem Namen einzuschließen. Beispiel: *EAST.COMPANY.COM |
-UserRealmName -urn | Kerberos_realm_name | Name des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird. Der Bereichsname muss in Großbuchstaben angegeben werden und unterliegt der Groß-/Kleinschreibung. Zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung geben Sie den Namen des Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, getrennt durch Kommas ein. Beispiel: COMPANY.COM,EAST.COMPANY.COM,WEST.COMPANY.COM Verwenden Sie ein Sternchen als Platzhalterzeichen vor dem Bereichsnamen, um alle Bereiche mit diesem Namen einzuschließen. Beispiel: *EAST.COMPANY.COM |
Im folgenden Beispiel wird ein Worker-Knoten zur Verwendung der Kerberos-Authentifizierung aktualisiert:
infasetup updateWorkerNode -krb true -srn COMPANY.COM -urn COMPANY.COM
Im folgenden Beispiel wird ein Worker-Knoten zur Verwendung der bereichsübergreifenden Kerberos-Authentifizierung aktualisiert:
infasetup updateWorkerNode -krb true -srn COMPANY.COM,COMPANY.EAST.COM,COMPANY.WEST.COM -urn COMPANY.COM,COMPANY.EAST.COM,COMPANY.WEST.COM