Erstellen einer LDAP-Konfiguration
Sie können eine oder mehrere LDAP-Konfigurationen erstellen, damit aus LDAP-Verzeichnisdiensten importierte Benutzerkonten oder -gruppen sich mit einer Informatica-Domäne authentifizieren können.
Sie können LDAP-Benutzer und -Gruppen im LDAP-Verzeichnisdienst erstellen und verwalten. Sie richten eine Verbindung zum LDAP-Verzeichnisserver ein und verwenden Suchfilter, um die Benutzer und Gruppen anzugeben, denen Zugriff auf die Informatica-Domäne gewährt werden soll. Anschließend importieren Sie die Benutzerkonten in eine LDAP-Sicherheitsdomäne. Wenn der LDAP-Server das SSL-Protokoll verwendet, müssen Sie außerdem den Speicherplatz des SSL-Zertifikats angeben.
Nach dem Importieren von Benutzern in eine LDAP-Sicherheitsdomäne können Sie Rollen und Berechtigungen zu den Benutzern zuweisen. Sie können LDAP-Benutzerkonten zu nativen Gruppen zuordnen, um die Konten anhand ihrer Rollen in der Informatica-Domäne zu verwalten.
Sie können das Administrator Tool nicht verwenden, um Benutzer und Gruppen in einer LDAP-Sicherheitsdomäne zu erstellen, zu bearbeiten oder zu löschen. Sie müssen Änderungen an LDAP-Benutzern und -Gruppen im LDAP-Verzeichnisdienst vornehmen und die LDAP-Sicherheitsdomäne anschließend mit dem LDAP-Verzeichnisdienst synchronisieren.
Verwenden Sie das Dialogfeld „LDAP-Konfiguration“, um die Verbindung zum LDAP-Verzeichnisdienst einzurichten und die LDAP-Sicherheitsdomäne zu erstellen, in die Benutzerkonten importiert werden sollen. Sie können das Dialogfeld „LDAP-Konfiguration“ auch verwenden, um einen Synchronisationszeitplan einzurichten.
Führen Sie zum Erstellen einer LDAP-Konfiguration die folgenden Schritte aus:
- 1Konfigurieren Sie die Verbindung zum LDAP-Server, der den Verzeichnisdienst enthält, aus dem Sie Benutzerkonten und -gruppen importieren möchten.
- 2Erstellen Sie eine LDAP-Sicherheitsdomäne für jeden Satz von Benutzerkonten und -gruppen, die Sie aus dem LDAP-Verzeichnisdienst importieren möchten.
- 3Richten Sie einen Zeitplan für den Dienstmanager ein, um die LDAP-Sicherheitsdomänen mit neuen oder geänderten Benutzern und Gruppen im LDAP-Verzeichnisdienst zu aktualisieren.
Erstellen der LDAP-Konfiguration und Konfigurieren der LDAP-Serververbindung
Erstellen Sie die LDAP-Konfiguration und konfigurieren Sie die Verbindung zum LDAP-Server, der den Verzeichnisdienst enthält, aus dem Sie die Benutzerkonten importieren möchten.
Geben Sie beim Konfigurieren der Verbindung zum LDAP-Server an, dass der Dienstmanager die Groß- und Kleinschreibung bei DN-Attributen der LDAP-Benutzerkonten während der Zuordnung von Benutzern zu Gruppen in der Informatica-Domäne ignorieren muss. Wenn der Dienstmanager die Groß- und Kleinschreibung nicht ignoriert, weist der Dienstmanager möglicherweise nicht alle Benutzer zu, die zu einer Gruppe gehören.
Wenn SSL auf dem LDAP-Server verwendet wird, müssen Sie das Zertifikat, das von jedem Domänenknoten verwendet wird, auf einer Gateway-Knotendomäne in die Truststore-Datei
cacerts importieren. Sie kopieren dann die Datei
cacerts mit den importierten Zertifikaten in dasselbe Verzeichnis auf jedem Knoten in der Domäne. Weitere Informationen hierzu finden Sie unter
Ein selbstsigniertes SSL-Zertifikat verwenden.
Zum Einrichten einer Verbindung zum LDAP-Verzeichnisdienst führen Sie die folgenden Aufgaben durch:
1Klicken Sie im Administrator Tool auf die Registerkarte Sicherheit.
2Klicken Sie auf die Registerkarte LDAP-Konfiguration.
3Klicken Sie auf das Menü Aktionen und wählen Sie LDAP-Konfiguration erstellen aus.
4Klicken Sie im Dialogfeld LDAP-Konfiguration erstellen auf die Registerkarte LDAP-Konnektivität.
5Konfigurieren Sie die Verbindungseigenschaften für den LDAP-Server.
Möglicherweise müssen Sie den LDAP-Administrator konsultieren, um die benötigten Informationen für die Verbindung zum LDAP-Server zu erhalten.
Die folgende Tabelle beschreibt die LDAP-Konfigurationseigenschaften:
Eigenschaft | Beschreibung |
|---|
Name der LDAP-Konfiguration | Name der LDAP-Konfiguration. |
Servername | Hostname oder IP-Adresse des Computers, auf dem der LDAP-Verzeichnisdienst gehostet wird. |
Port | Listenerport für den LDAP-Server. Dies ist die Portnummer für die Kommunikation mit dem LDAP-Verzeichnisdienst. In der Regel weist der LDAP-Server die Portnummer 389 auf. Wenn der LDAP-Server SSL nutzt, ist die Portnummer 636. Die maximale Portnummer ist 65535. |
LDAP-Verzeichnisdienst | Typ des LDAP-Verzeichnisdiensts. HINWEIS: Wenn Sie die Kerberos-Authentifizierung verwenden, müssen Sie den Microsoft Active Directory-Dienst auswählen. |
Name | Distinguished Name (DN) für den Prinzipal-Benutzer. Der Benutzername besteht häufig aus einem allgemeinen Namen (Common Name, CN), einer Organisation (Organization, O) und einem Land (Country, C). Der Prinzipal-Benutzername ist ein administrativer Benutzer mit Zugriff auf das Verzeichnis. Geben Sie einen Benutzer an, der über die Berechtigung zum Lesen anderer Benutzereinträge in einem LDAP-Verzeichnisdienst verfügt. Um eine Verbindung zu Azure Active Directory herzustellen, geben Sie den Namen des Benutzerprinzipals (UPN) für den Prinzipal-Benutzer an. |
Passwort | Passwort für den Prinzipal-Benutzer. Für anonyme Anmeldung leer lassen. |
SSL-Zertifikat verwenden | Zeigt an, dass der LDAP-Server das SSL (Secure Socket Layer)-Protokoll verwendet. |
LDAP-Zertifikat vertrauen | Legt fest, ob der Dienstmanager dem SSL-Zertifikat des LDAP-Servers vertrauen kann. Wenn diese Option aktiviert ist, stellt der Dienstmanager die Verbindung zum LDAP-Server ohne Überprüfung des SSL-Zertifikats her. Wenn diese Option nicht aktiviert ist, prüft der Dienstmanager, ob das SSL-Zertifikat von einer Zertifizierungsstelle signiert ist, bevor die Verbindung mit dem LDAP-Server hergestellt wird. |
Ohne Beachtung der Groß-/Kleinschreibung | Gibt an, dass der Dienstmanager bei der Zuweisung von Benutzern zu Gruppen die Groß- und Kleinschreibung bei DN-Attributen ignorieren muss. |
Gruppenmitgliedschaftsattribut | Name des Attributs, das die die Gruppenmitgliedschaft für einen Benutzer enthält. Dies ist das Attribut im LDAP-Gruppenobjekt, das die DNs der Benutzer oder Gruppen enthält, die Mitglieder einer Gruppe sind. Zum Beispiel member oder memberof. |
Maximale Größe | Maximale Anzahl an Benutzerkonten zum Importieren in eine Sicherheitsdomäne. Beispiel: Wenn der Wert auf 100 gesetzt ist, können Sie maximal 100 Benutzerkonten in die Sicherheitsdomäne importieren. Wenn die Anzahl der zu importierenden Benutzer den Wert für diese Eigenschaft übersteigt, generiert der Dienstmanager eine Fehlermeldung und importiert keine Benutzer. Setzen Sie diese Eigenschaft auf einen höheren Wert, wenn Sie viele Benutzer importieren müssen. Standardwert ist „1000“. |
6Klicken Sie auf Verbindung testen, um sicherzustellen, dass die Verbindung zum LDAP-Server gültig ist.
7Klicken Sie zum Speichern der LDAP-Konfiguration auf OK.
Konfigurieren der Sicherheitsdomäne
Erstellen Sie eine LDAP-Sicherheitsdomäne für jeden Satz von Benutzerkonten und Gruppen, die Sie aus dem LDAP-Verzeichnisdienst importieren möchten. Richten Sie Suchbasen und Filter ein, um den Satz von Benutzerkonten und Gruppen zu definieren, die in eine Sicherheitsdomäne aufgenommen werden sollen.
Die Namen der aus dem LDAP-Verzeichnisdienst zu importierenden Benutzer und Gruppen müssen den gleichen Regeln entsprechen, wie die Namen der nativen Benutzer und Gruppen. Der Service Manager importiert keine LDAP-Benutzer oder Gruppen, wenn die Namen nicht an die Regeln der nativen Benutzer- und Gruppennamen entsprechen. Beachten Sie, dass im Gegensatz zu nativen Benutzernamen bei LDAP-Benutzernamen zwischen Groß- und Kleinschreibung unterschieden wird.
Der Service Manager verwendet die Benutzersuchbasen und Filter zum Importieren von Benutzern und die Gruppensuchbasen zum Importieren von Gruppen. Der Dienstmanager verwendet die Filter, um Gruppen und die Liste der zu jeder Gruppe gehörenden Benutzer zu importieren.
Wenn Sie die LDAP-Verbindungseigenschaften ändern, um eine Verbindung zu einem anderen LDAP-Server herzustellen, löscht der Service Manager die vorhandenen Sicherheitsdomänen nicht. Sie müssen sicherstellen, dass die LDAP-Sicherheitsdomänen für die das neue LDAP-Server richtig sind. Ändern Sie die Benutzer-und Gruppen-Filter in den Sicherheitsdomänen oder erstellen Sie zusätzliche Sicherheitsdomänen, sodass der Dienstmanager die Benutzer und Gruppen korrekt importiert, die Sie in der Informatica-Domäne verwenden möchten.
Führen Sie zum Konfigurieren einer LDAP-Sicherheitsdomäne die folgenden Schritte durch:
1Klicken Sie im Administrator Tool auf die Registerkarte Sicherheit.
2Klicken Sie auf das Menü Aktionen und wählen Sie dann LDAP-Konfiguration aus.
3Klicken Sie im Dialogfeld LDAP-Konfiguration auf die Registerkarte Sicherheitsdomänen.
4Klicken Sie auf Hinzufügen.
In der nachstehenden Tabelle sind die Filtereigenschaften beschrieben, die Sie für eine Sicherheitsdomäne einrichten können:
Eigenschaft | Beschreibung |
|---|
Sicherheitsdomäne | Name der LDAP-Sicherheitsdomäne. Der Name unterliegt nicht der Groß-/Kleinschreibung und muss innerhalb der Domäne eindeutig sein. Die Zeichenfolge darf maximal 128 Zeichen umfassen und keines der folgenden Sonderzeichen enthalten: , + / < > @ ; \ % ? Der Name kann ein ASCII-Leerzeichen enthalten, jedoch nicht als erstes oder letztes Zeichen. Alle anderen Leerzeichen sind nicht zulässig. |
Benutzersuchbasis | Distinguished Name (DN) des Eintrags, der als Ausgangspunkt für die Suche nach Benutzernamen im LDAP-Verzeichnisdienst dient. Bei der Suche wird ein Objekt im Verzeichnis anhand des Pfads im Distinguished Name des Objekts gefunden. Beispiel: In Microsoft Active Directory könnte der Distinguished Name des Benutzers cn=UserName,ou=OrganizationalUnit,dc=DomainName lauten, wobei die Reihe der durch dc=DomainName benannten relativen Distinguished Names die DNS-Domäne des Objekts kennzeichnet. |
Benutzerfilter | Eine LDAP-Abfragezeichenfolge, mit der die Kriterien für die Suche nach Benutzern im Verzeichnisdienst festgelegt wird. Der Filter kann Attributtypen, Assertionswerte und Abgleichkriterien angeben. Beispiel: (objectclass=*) sucht nach allen Objekten. (&(objectClass=user)(!(cn=susan))) sucht nach allen Benutzerobjekten mit Ausnahme von „susan”. Weitere Informationen zu Suchfiltern finden Sie in der Dokumentation für den LDAP-Verzeichnisdienst. |
Gruppensuchbasis | Distinguished Name (DN) des Eintrags, der als Ausgangspunkt für die Suche nach Gruppennamen im LDAP-Verzeichnisdienst dient. |
Gruppenfilter | Eine LDAP-Abfragezeichenfolge, mit der die Kriterien für die Suche nach Gruppen im Verzeichnisdienst festgelegt wird. |
5Klicken Sie auf Vorschau, um eine Teilmenge der Liste von Benutzern und Gruppen anzuzeigen, die innerhalb der Filterparameter liegen.
Wenn die Vorschau nicht den richtigen Satz von Benutzern und Gruppen zeigt, ändern Sie die Benutzer- bzw. Gruppenfilter und Suchbasen, um die richtigen Benutzer und Gruppen erhalten.
6Zur sofortigen Synchronisation von Benutzern und Gruppen in den Sicherheitsdomänen mit den Benutzern und Gruppen im LDAP-Verzeichnisdienst klicken Sie auf Jetzt synchronisieren.
Der Dienstmanager synchronisiert die Benutzer in allen LDAP-Sicherheitsdomänen mit den Benutzern im LDAP-Verzeichnisdienst. Die Dauer des Synchronisationsvorgangs hängt von der Anzahl der zu synchronisierenden Benutzer und Gruppen ab.
7Klicken Sie zum Speichern der Sicherheitsdomäne auf OK.
Konfigurieren des Synchronisationszeitplans
Sie können einen Tagesplan für den Dienstmanager einrichten, um die LDAP-Sicherheitsdomänen mit neuen oder geänderten Benutzern und Gruppen im LDAP-Verzeichnisdienst zu aktualisieren.
Wenn der Dienstmanager die LDAP-Sicherheitsdomänen mit dem LDAP-Verzeichnisdienst synchronisiert, importiert er alle Benutzer, die mit den Benutzerfiltereinstellungen übereinstimmen, vom LDAP-Verzeichnisdienst in die Sicherheitsdomäne. Der Service Manager importiert dann alle Gruppen, die den Gruppenfiltereinstellungen entsprechen, und ordnet die Benutzer den entsprechenden Gruppen zu. Der Dienstmanager löscht auch alle Benutzer oder Gruppen, die nicht im LDAP-Verzeichnisdienst gefunden wurden, aus der Sicherheitsdomäne.
Standardmäßig ist für den Dienstmanager keine Zeit zur Synchronisation mit dem LDAP-Verzeichnisdienst geplant. Um sicherzustellen, dass die Liste der Benutzer und Gruppen in den LDAP-Sicherheitsdomänen korrekt ist, planen Sie, wann der Dienstmanager die LDAP-Sicherheitsdomänen mit dem LDAP-Verzeichnisdienst synchronisiert. Der Dienstmanager synchronisiert die LDAP-Sicherheitsdomänen mit dem LDAP-Verzeichnisdienst jeden Tag zu den von Ihnen festgelegten Zeiten.
Um sicherzustellen, dass die Synchronisierung erfolgreich ist, beachten Sie die folgenden Empfehlungen, bevor Sie den Synchronisationszeitplan einrichten:
- Vergewissern Sie sich, dass die Datei „/etc/hosts“ einen Eintrag für den LDAP-Server enthält.
- Stellen Sie sicher, dass die Datei /etc/hosts auf jedem Gateway-Knoten in der Domäne einen Eintrag mit dem Hostnamen und der IP-Adresse des LDAP-Servers enthält. Wenn der Dienstmanager den Hostnamen für den LDAP-Server nicht auflösen kann, kann die Synchronisierung fehlschlagen.
- Aktivieren Sie das Paging in LDAP, wenn Sie mehr als 100 Benutzer oder Gruppen synchronisieren.
- Aktivieren Sie das Paging auf dem LDAP-Verzeichnisdienst, bevor Sie mehr als 100 Benutzer oder Gruppen synchronisieren. Wenn Sie das Paging für den LDAP-Verzeichnisdienst nicht aktivieren, kann die Synchronisierung fehlschlagen.
- Synchronisieren Sie Sicherheitsdomänen in Zeiten, in denen die meisten Benutzer nicht bei Informatica-Anwendungen angemeldet sind.
- Während der Synchronisation sperrt der Service Manager jedes Benutzerkonto, das er synchronisiert. Benutzer sind möglicherweise nicht in der Lage, sich während der Synchronisierung bei den Informatica-Anwendungs-Clients anzumelden. Benutzer, die sich während des Startens der Synchronisierung bei einem Anwendungs-Client angemeldet haben, können bestimmte Aufgaben möglicherweise nicht ausführen.
Um einen Zeitplan zum Synchronisieren der LDAP-Sicherheitsdomänen mit dem LDAP-Verzeichnisdienst einzurichten, führen Sie die folgenden Schritte durch:
1Klicken Sie im Administrator Tool auf die Registerkarte Sicherheit.
2Klicken Sie auf das Menü Aktionen und wählen Sie LDAP-Konfiguration aus.
3Klicken Sie im Dialogfeld LDAP-Konfiguration auf die Registerkarte Zeitplan.
4Klicken Sie auf die Schaltfläche Hinzufügen (+), um eine Zeit hinzuzufügen.
Der Zeitplan für die Synchronisierung wird ein 24-Stunden-Format verwendet.
5Um die Benutzer und Gruppen in den LDAP-Sicherheitsdomänen sofort mit den Benutzern und Gruppen im LDAP-Verzeichnisdienst zu synchronisieren, klicken Sie auf Jetzt synchronisieren.
6Klicken Sie zum Speichern des Synchronisationszeitplans auf OK.
HINWEIS: Warten Sie, bis der Dienstmanager mit dem LDAP-Verzeichnisdienst synchronisiert wurde, bevor Sie die Informatica-Domäne neu starten, um zu vermeiden, dass die Synchronisationszeiten verloren gehen, die Sie im Zeitplan festgelegt haben.
Geschachtelte Gruppen im LDAP-Verzeichnisdienst verwenden
Eine LDAP-Sicherheitsdomäne kann verschachtelte LDAP-Gruppen enthalten. In den Service Manager lassen sich verschachtelte Gruppen importieren, wenn dies wie folgt erstellt wurden:
- •Die Gruppen müssen unter denselben Organisationseinheiten (OE) erstellt werden.
- •Definieren Sie eine Beziehung zwischen den Gruppen.
Angenommen, Sie möchten eine verschachtelte Gruppe erstellen, in der GruppeB ein Mitglied von GruppeA, und GruppeD ein Mitglied von GruppeC ist.
- 1Erstellen Sie GroupA, GroupB, GroupC und GroupD innerhalb derselben Organisationseinheit.
- 2Bearbeiten Sie GroupA und fügen Sie GroupB als Mitglied hinzu.
- 3Bearbeiten Sie GroupC und fügen Sie GroupD als Mitglied hinzu.
LDAP-Gruppen, die auf andere Art erstellt wurden, lassen sich nicht in eine LDAP-Sicherheitsdomäne importieren.
Ein selbstsigniertes SSL-Zertifikat verwenden
Sie können die Verbindung zu einem LDAP-Server herstellen, der ein SSL-Zertifikat verwendet, das von einer Zertifizierungsstelle signiert wurde. In der Standardeinstellung, stellt der Dienstmanager keine Verbindung zu einem LDAP-Server her, der ein selbstsigniertes Zertifikat verwendet.
Um eine Verbindung zu einem LDAP-Server herzustellen, der ein SSL-Zertifikat verwendet, importieren Sie mit dem Java-Keytool-Schlüssel- und Zertifikatsverwaltungsdienstprogramm die Zertifikate, die von allen Domänenknoten verwendet werden, auf einem einzelnen Gateway-Knoten in der Domäne in die Java-TrustStore-Datei cacerts. Kopieren Sie dann die KeyStore-Datei cacerts mit den importierten Zertifikaten in die anderen Knoten in der Domäne.
Die Truststore-Datei cacerts befindet sich auf allen Knoten in folgendem Verzeichnis:
<Informatica installation directory>\java\jre\lib\security
Das Keytool-Dienstprogramm ist in folgendem Verzeichnis auf allen Knoten verfügbar:
<Informatica installation directory>\java\bin
Starten Sie den Knoten neu, nachdem Sie das Zertifikat importiert haben.