Aktivieren von Benutzerkonten für die Verwendung von Kerberos-Authentifizierung
Nachdem Sie Kerberos-Authentifizierung in der Domäne aktiviert haben, importieren Sie Informatica-Benutzerkonten aus Active Directory in die LDAP-Sicherheitsdomäne, die Kerberos-Benutzerkonten enthält. Sie müssen auch die Gruppen, Rollen, Rechte und Berechtigungen aus der nativen Sicherheitsdomäne zu den entsprechenden Active Directory-Benutzerkonten in der LDAP-Sicherheitsdomäne migrieren, die Kerberos-Benutzerkonten enthält.
Importieren von Benutzerkonten aus Active Directory in LDAP-Sicherheitsdomänen
Importieren Sie Benutzerkonten aus Active Directory in LDAP-Sicherheitsdomänen.
Wenn Sie Kerberos-Authentifizierung in der Domäne aktivieren, erstellt Informatica eine leere LDAP-Sicherheitsdomäne mit dem gleichen Namen wie der Kerberos-Bereich. Sie können Benutzerkonten aus Active Directory in die LDAP-Sicherheitsdomäne importieren oder die Benutzerkonten in eine andere LDAP-Sicherheitsdomäne importieren.
Sie verwenden das Administrator Tool, um die Konten, die Kerberos-Authentifizierung verwenden, aus Active Directory in eine LDAP-Sicherheitsdomäne zu importieren.
Stellen Sie zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung eine Verbindung zum globalen Active Directory-Katalog her. Beim Herstellen einer Verbindung zum globalen Katalog importieren Sie Benutzer aus dem Active Directory-Server, der von allen Kerberos-Bereichen verwendet wird.
1Starten Sie die Domäne und alle Informatica-Dienste.
2Melden Sie sich bei Windows mit dem Administratorkonto an, das Sie beim Aktivieren der Kerberos-Authentifizierung in der Domäne angegeben haben.
3Melden Sie sich am Administrator Tool an. Wählen Sie „_infaInternalNamespace“ als Sicherheitsdomäne aus.
4Klicken Sie im Administrator Tool auf die Registerkarte Sicherheit.
5Klicken Sie auf das Menü Aktionen und wählen Sie LDAP-Konfiguration aus.
6Klicken Sie im Dialogfeld LDAP-Konfiguration auf die Registerkarte LDAP-Konnektivität.
7Konfigurieren Sie die Verbindungseigenschaften für Active Directory.
Möglicherweise müssen Sie den LDAP-Administrator konsultieren, um die benötigten Informationen für die Verbindung zum LDAP-Server zu erhalten.
Die folgende Tabelle beschreibt die LDAP-Konfigurationseigenschaften:
Eigenschaft | Beschreibung |
|---|
Servername | Hostname oder IP-Adresse des Active Directory-Servers. Stellen Sie zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung eine Verbindung zum Host des globalen Active Directory-Katalogs her. Geben Sie den vollqualifizierten Hostnamen an. Beispiel: host.company.local |
Port | Listenerport für den Active Directory-Server. Der Standardwert ist 389. Der SSL-Standardport für die Verbindung lautet 636. Stellen Sie zum Konfigurieren der bereichsübergreifenden Kerberos-Authentifizierung eine Verbindung zum Port des globalen Active Directory-Katalogs her. Der Standardwert ist 3268. Der SSL-Standardport für die Verbindung lautet 3269. |
LDAP-Verzeichnisdienst | Wählen Sie Microsoft Active Directory-Dienst aus. |
Name | Geben Sie das Bind-Benutzerkonto an, das Sie in Active Directory erstellt haben, um Konten in Active Directory mit der LDAP-Sicherheitsdomäne zu synchronisieren. Da die Domäne für Kerberos-Authentifizierung aktiviert ist, ist keine Option zum Bereitstellen eines Passworts für das Konto vorhanden. Wird in der Domäne die bereichsübergreifende Kerberos-Authentifizierung verwendet, schließen Sie den Namen des Bereichs ein, zu dem die Active Directory-Prinzipaldatenbank gehört. |
SSL-Zertifikat verwenden | Zeigt an, dass der LDAP-Server das SSL (Secure Socket Layer)-Protokoll verwendet. |
LDAP-Zertifikat vertrauen | Legt fest, ob der Dienstmanager dem SSL-Zertifikat des LDAP-Servers vertrauen kann. Wenn diese Option aktiviert ist, stellt der Dienstmanager die Verbindung zum LDAP-Server ohne Überprüfung des SSL-Zertifikats her. Wenn diese Option nicht aktiviert ist, prüft der Dienstmanager, ob das SSL-Zertifikat von einer Zertifizierungsstelle signiert ist, bevor die Verbindung mit dem LDAP-Server hergestellt wird. |
Ohne Beachtung der Groß-/Kleinschreibung | Gibt an, dass der Dienstmanager bei der Zuweisung von Benutzern zu Gruppen die Groß- und Kleinschreibung bei DN-Attributen ignorieren muss. |
Gruppenmitgliedschaftsattribut | Name des Attributs, das die die Gruppenmitgliedschaft für einen Benutzer enthält. Dies ist das Attribut im LDAP-Gruppenobjekt, das die DNs der Benutzer oder Gruppen enthält, die Mitglieder einer Gruppe sind. Zum Beispiel member oder memberof. |
Maximale Größe | Maximale Anzahl an Benutzerkonten zum Importieren in eine Sicherheitsdomäne. Beispiel: Wenn der Wert auf 100 gesetzt ist, können Sie maximal 100 Benutzerkonten in die Sicherheitsdomäne importieren. Wenn die Anzahl der zu importierenden Benutzer den Wert für diese Eigenschaft übersteigt, generiert der Dienstmanager eine Fehlermeldung und importiert keine Benutzer. Setzen Sie diese Eigenschaft auf einen höheren Wert, wenn Sie viele Benutzer importieren müssen. Standardwert ist „1000“. |
8Klicken Sie im Dialogfeld LDAP-Konfiguration auf die Registerkarte Sicherheitsdomänen.
9Klicken Sie auf Hinzufügen.
In der nachstehenden Tabelle sind die Filtereigenschaften beschrieben, die Sie für eine Sicherheitsdomäne einrichten können:
Eigenschaft | Beschreibung |
|---|
Sicherheitsdomäne | Name der LDAP-Sicherheitsdomäne, in die Sie Benutzerkonten aus Active Directory importieren möchten. |
Benutzersuchbasis | Distinguished Name (DN) des Eintrags, der als Ausgangspunkt für die Suche nach Benutzernamen in Active Directory dient. Bei der Suche wird ein Objekt im Verzeichnis anhand des Pfads im Distinguished Name des Objekts gefunden. Um beispielsweise nach dem Container USERS zu suchen, der Informatica-Benutzerkonten in der Windows-Domäne example.com enthält, geben Sie CN=USERS,DC=EXAMPLE,DC=COM an. |
Benutzerfilter | Eine LDAP-Abfragezeichenfolge, mit der die Kriterien für die Suche nach Benutzern im Verzeichnisdienst festgelegt wird. Der Filter kann Attributtypen, Assertionswerte und Abgleichkriterien angeben. Beispiel: (objectclass=*) sucht nach allen Objekten. (&(objectClass=user)(!(cn=susan))) sucht nach allen Benutzerobjekten mit Ausnahme von „susan”. Weitere Informationen zu Suchfiltern finden Sie in der Dokumentation für den LDAP-Verzeichnisdienst. |
Gruppensuchbasis | Distinguished Name (DN) des Eintrags, der als Ausgangspunkt für die Suche nach Gruppennamen im LDAP-Verzeichnisdienst dient. |
Gruppenfilter | Eine LDAP-Abfragezeichenfolge, mit der die Kriterien für die Suche nach Gruppen im Verzeichnisdienst festgelegt wird. |
Die folgende Abbildung zeigt die Informationen, die benötigt werden, um LDAP-Benutzer aus Active Directory in die LDAP-Sicherheitsdomäne zu importieren, die beim Aktivieren von Kerberos in der Domäne erstellt wurde:
10Klicken Sie auf Jetzt synchronisieren.
Der Dienstmanager synchronisiert die Benutzer in allen LDAP-Sicherheitsdomänen mit den Benutzern im LDAP-Verzeichnisdienst. Die Dauer des Synchronisationsvorgangs hängt von der Anzahl der zu synchronisierenden Benutzer und Gruppen ab.
11Klicken Sie auf OK, um die LDAP-Sicherheitsdomäne zu speichern.
Migrieren von nativen Benutzerrechten und -berechtigungen zur Kerberos-Sicherheitsdomäne
Wenn die Informatica-Domäne über Benutzerkonten in der nativen Sicherheitsdomäne verfügt, müssen die entsprechenden Active Directory-Benutzerkonten in der Kerberos-Sicherheitsdomäne dieselben Gruppen, Rollen, Rechte und Berechtigungen aufweisen. Migrieren Sie die Gruppen, Rollen, Rechte und Berechtigungen der nativen Benutzer auf die entsprechenden Benutzerkonten in der LDAP-Sicherheitsdomäne für Kerberos.
1Überprüfen Sie die Liste der nativen Benutzerkonten und legen Sie die Konten fest, die Sie auf eine LDAP-Sicherheitsdomäne für Kerberos-Authentifizierung migrieren möchten.
Führen Sie zum Auflisten der Benutzerkonten in der Informatica-Domäne den folgenden Befehl aus:
infacmd isp ListAllUsers
Jedes native Benutzerkonto, das Sie auf die Kerberos-Sicherheitsdomäne migrieren möchten, muss über ein entsprechendes Konto im Active Directory-Dienst verfügen, den Sie für Kerberos-Authentifizierung verwenden.
2Erstellen Sie die Benutzermigrationsdatei.
Die Benutzermigrationsdatei ist eine Nur-Text-Datei mit einer Liste von nativen Benutzern und entsprechenden Kerberos-Benutzern, die dieselben Gruppen, Rollen, Rechte und Berechtigungen benötigen.
Verwenden Sie das folgende Format, um Einträge in der Benutzermigrationsdatei aufzulisten.
Native/<source user name>,<LDAP security domain>/<target user name>
Das folgende Beispiel zeigt eine Benutzermigrationsdatei mit der folgenden Liste von Benutzern, die zur Sicherheitsdomäne COMPANY.COM migriert werden sollen:
Native/User1,COMPANY.COM/User1
Native/User2,COMPANY.COM/User2
Native/User3,COMPANY.COM/User3
3Führen Sie den Befehl „infacmd isp migrateUsers“ aus, um Kontorechte und -berechtigungen in der nativen Sicherheitsdomäne an die Konten in der Kerberos-Sicherheitsdomäne zu migrieren.
Um die Gruppen, Rollen, Rechte und Berechtigungen für Benutzer zu migrieren, führen Sie den folgenden Befehl aus:
infacmd isp migrateUsers -dn <domain name> -un <administrator user name> -pd <administrator password> -sdn <security domain> -umf <user migration file>
In der folgenden Tabelle werden die Optionen für den Befehl beschrieben:
Option | Beschreibung |
|---|
-DomainName -dn | Name der Informatica-Domäne. |
-UserName -un | Benutzername zum Herstellen einer Verbindung zur Domäne. Geben Sie den Benutzernamen des Administratorkontos an, den Sie im Befehl „infasetup switchToKerberosMode“ angegeben haben. |
-Password -pd | Passwort für das Administratorkonto. |
-SecurityDomain -sdn | LDAP-Sicherheitsdomäne des Administratorkontos, das für die Verbindung zur Domäne verwendet wird. Geben Sie „_infaInternalNamespace“ an. |
-UserMigrationFile -umf | Pfad und Dateiname der Benutzermigrationsdatei. Der Befehl überspringt Einträge mit einem doppelten Quell- oder Zielbenutzernamen. |
Im folgenden Beispiel werden die Gruppen, Rollen, Rechte und Berechtigungen für Benutzer basierend auf der Benutzermigrationsdatei um_s.txt migriert:
infacmd isp migrateUsers -dn InfaDomain -un nodeuser01 -pd password -sdn _infaInternalNamespace -umf C:\Infa\um_s.txt
Der Befehl überschreibt die Berechtigungen für das Verbindungsobjekt, die dem LDAP-Benutzer zugewiesen sind, mit den Berechtigungen für das Verbindungsobjekt für den nativen Benutzer. Der Befehl führt die Gruppen, Rollen, Rechte und Domänenobjektberechtigungen für native Benutzer und entsprechende LDAP-Benutzer zusammen.
Mit dem Befehl „migrateUsers“ wird eine detaillierte Protokolldatei mit dem Namen infacmd_umt_<date>_<time>.txt in dem Verzeichnis erstellt, in dem der Befehl ausgeführt wird.