Handbuch für Sicherheit > Kerberos-Authentifizierung > Bereichsübergreifende Kerberos-Authentifizierung
  

Bereichsübergreifende Kerberos-Authentifizierung

Sie können eine Informatica-Domäne zur Verwendung der bereichsübergreifenden Kerberos-Authentifizierung konfigurieren. Mit der bereichsübergreifenden Kerberos-Authentifizierung können sich Informatica-Clients, die zu einem Kerberos-Bereich gehören, bei Knoten und Anwendungsdiensten authentifizieren, die zu einem anderen Kerberos-Bereich gehören.
Wenn Sie eine Domäne zur Verwendung der bereichsübergreifenden Kerberos-Authentifizierung konfigurieren, fügen Sie der Kerberos-Konfigurationsdatei Eigenschaften für jeden Kerberos-Bereich hinzu. Darüber hinaus schließen Sie den Namen jedes Kerberos-Bereichs ein, wenn Sie infasetup-Befehle zum Aktivieren der Kerberos-Authentifizierung in der Domäne und auf Domänenknoten ausführen.
Die Active Directory-Server, die von der Domäne für die bereichsübergreifende Kerberos-Authentifizierung verwendet werden, müssen zur selben Active Directory-Gesamtstruktur gehören. Bei einer Active Directory-Gesamtstruktur handelt es sich um eine Gruppe von Active Directory-Domänen, die einen allgemeinen globalen Katalog, ein Verzeichnisschema, eine logische Struktur und Verzeichniskonfiguration gemeinsam nutzen. Sie stellen eine Verbindung zum globalen Katalog her, um Benutzer aus den Active Directory-Servern in LDAP-Sicherheitsdomänen zu importieren.
Zur Verwendung der bereichsübergreifenden Kerberos-Authentifizierung muss eine bidirektionale Vertrauensstellung zwischen den Active Directory-Servern in der Gesamtstruktur aktiviert werden.

Umwandeln einer Domäne mit einer Kerberos-Konfiguration für Einzelbereiche in eine Domäne mit bereichsübergreifender Kerberos-Konfiguration

Sie können eine Informatica-Domäne, die einen einzelnen Kerberos-Bereich zur Authentifizierung von Benutzern verwendet, in eine Domäne mit bereichsübergreifender Kerberos-Authentifizierung umwandeln.
Sie müssen die Domäne auf Version 10.2 HotFix 2 aktualisieren, bevor Sie die Domäne in eine Domäne mit bereichsübergreifender Kerberos-Authentifizierung umwandeln.
Darüber hinaus müssen Sie Benutzer- und Gruppenkonten aus dem globalen Active Directory-Katalog in eine LDAP-Sicherheitsdomäne importieren. Wenn Sie Konten importieren, werden vorhandene Konten in der LDAP-Sicherheitsdomäne, die das Namensattribut „samAccount“ verwenden, gelöscht und durch neue Konten mit dem Namensattribut „user principal“ ersetzt.
Benutzer melden sich bei Informatica-Clients mit dem vollqualifizierten Benutzerprinzipalnamen an, der folgendes Format aufweist:
<user name>@<KERBEROS REALM NAME>
Nachdem Sie die Benutzer- und Gruppenkonten importiert haben, weisen Sie den Konten Rechte, Rollen und Berechtigungen zu.
    1Aktualisieren Sie die Domäne auf Version 10.2 HotFix 2.
    2Fügen Sie die notwendigen Eigenschaften für jeden Kerberos-Bereich zur Kerberos-Konfigurationsdatei hinzu.
    Legen Sie die Eigenschaften für jeden Bereich in der Konfigurationsdatei krb5.conf auf allen Knoten in der Domäne fest. Starten Sie die Domäne neu, nachdem Sie die Datei auf allen Knoten in der Domäne aktualisiert haben.
    Weitere Informationen zum Konfigurieren der Konfigurationsdatei krb5.conf für die bereichsübergreifende Kerberos-Authentifizierung finden Sie unter Konfigurieren der Kerberos-Konfigurationsdatei.
    3Kopieren Sie die aktualisierte Datei krb5.conf in folgendes Verzeichnis auf jedem Computer, der einen Informatica-Client hostet:
    <Informatica-Installationsverzeichnis>\clients\shared\security
    4Führen Sie die infasetup-Befehle „UpdateGatewayNode“ und „UpdateWorkerNode“ auf den Domänenknoten aus.
    Geben Sie den Namen jedes Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, als Wert für die Optionen „-srn“ und „-urn“, getrennt durch ein Komma, an.
    Weitere Informationen zum Ausführen der infasetup-Befehle finden Sie im Abschnitt „infasetup-Befehlsreferenz“ in der Informatica 10.2 HotFix 2-Befehlsreferenz.
    5Führen Sie den Befehl „UpdateKerberosConfig“ auf einem Gateway-Knoten innerhalb der Domäne aus.
    Geben Sie den Namen jedes Kerberos-Bereichs, der von der Domäne zum Authentifizieren von Benutzern verwendet wird, als Wert für die Optionen „-srn“ und „-urn“, getrennt durch ein Komma, an.
    6Führen Sie den Befehl „UpdateKerberosAdminUser“ auf einem Gateway-Knoten innerhalb der Domäne aus.
    Geben Sie den vollqualifizierten Benutzerprinzipalnamen für das Benutzerkonto des Domänenadministrators an.
    7Importieren Sie Benutzer- und Gruppenkonten in LDAP-Sicherheitsdomänen.
    Stellen Sie eine Verbindung zum globalen Active Directory-Katalog her. Beim Herstellen einer Verbindung zum globalen Katalog importieren Sie Benutzer aus dem Active Directory-Server, der von allen Kerberos-Bereichen verwendet wird.
    Weitere Informationen zum Herstellen einer Verbindung zum globalen Katalog und Importieren von Konten finden Sie unter Importieren von Benutzerkonten aus Active Directory in LDAP-Sicherheitsdomänen.
    8Weisen Sie den Benutzer- und Gruppenkonten, die Sie in eine LDAP-Sicherheitsdomäne importiert haben, Rechte, Rollen und Berechtigungen zu.
    Weitere Informationen zum Zuweisen von Rechten und Rollen finden Sie unter Berechtigungen und Rollen.
    Weitere Informationen zum Zuweisen von Berechtigungen finden Sie unter Berechtigungen.