Handbuch für Sicherheit > Kerberos-Authentifizierung > Funktionsweise von Kerberos in einer Informatica-Domäne
  

Funktionsweise von Kerberos in einer Informatica-Domäne

In einer Domäne, die zur Verwendung der Kerberos-Authentifizierung konfiguriert ist, authentifizieren sich die Informatica-Clients bei Knoten und Anwendungsdiensten innerhalb der Domäne, ohne Passwörter zu benötigen.
In einer Domäne mit Kerberos-Authentifizierung handelt es sich bei den innerhalb der Domäne ausgeführten Diensten, wie z. B. Knotenprozessen, Dienstanwendungsprozessen und Informatica-Anwendungsdiensten, um Kerberos-Prinzipale. Die vom Kerberos-Bereich verwendete Active Directory-Prinzipaldatenbank enthält ein Benutzerkonto für jeden Prinzipal.
Das Kerberos-Authentifizierungsprotokoll verwendet keytabs, um Informatica-Clients bei Diensten zu authentifizieren, die innerhalb der Domäne ausgeführt werden. Die Keytab-Datei für einen Prinzipal wird auf dem Knoten gespeichert, auf dem der Dienst ausgeführt wird. Die Keytab-Datei enthält den Dienstprinzipalnamen (SPN, Service Principal Name), der den Dienst innerhalb des Kerberos-Bereichs identifiziert, sowie den Schlüssel, der dem SPN in Active Directory zugewiesen ist.
Wenn das KDC ein Dienstticket an einen Client ausgibt, verschlüsselt es das Ticket mit dem Schlüssel, der dem SPN zugewiesen ist. Der angeforderte Dienst verwendet den Schlüssel zum Entschlüsseln des Diensttickets.
Die folgende Abbildung zeigt den grundlegenden Ablauf für Kerberos-Authentifizierung:
Die Kerberos-Authentifizierung verwendet Tickets, damit sich Benutzer bei Diensten in einer Informatica-Domäne authentifizieren können.
Der folgende Überblick beschreibt den grundlegenden Ablauf für Kerberos-Authentifizierung:
  1. 1Ein Informatica-Clientbenutzer meldet sich bei einem Netzwerkcomputer an, der einen Informatica-Client hostet.
  2. 2Die Anmeldeanforderung wird an den Authentifizierungsserver, eine Komponente des Kerberos-Schlüsselverteilungscenters (Key Distribution Center, KDC), weitergeleitet. Das KDC ist ein Netzwerkdienst mit Zugriff auf Benutzerkonteninformationen, der auf jedem Domänencontroller innerhalb der Active Directory-Domäne ausgeführt wird.
  3. 3Der Authentifizierungsserver verifiziert, dass der Benutzer in der Prinzipaldatenbank vorhanden ist, und erstellt dann einen Kerberos-Token, der als Ticket-Granting-Ticket (TGT) bezeichnet wird, auf dem Computer des Benutzers.
  4. 4Der Benutzer versucht, auf einen Prozess oder Dienst innerhalb der Informatica-Domäne über einen Informatica-Client zuzugreifen.
  5. 5Informatica und die Kerberos-Bibliotheken verwenden das TGT, um ein Dienstticket und einen Sitzungsschlüssel für den angeforderten Dienst bei einem Ticket-Granting-Server anzufordern, der ebenfalls innerhalb des KDC ausgeführt wird.
    6. Wenn der Benutzer beispielsweise auf einen Modellrepository-Dienst vom Informatica Developer-Client zugreift, fordert das TGT ein Dienstticket für den Knoten an, auf dem der angeforderte Dienst ausgeführt wird. Das TGT fordert auch ein Dienstticket für den Modellrepository-Dienst an.
  6. 6Kerberos verwendet das Dienstticket, um den Client bei dem angeforderten Dienst zu authentifizieren.
    7. Das Dienstticket wird auf dem Computer zwischengespeichert, der den Informatica-Client hostet, was es dem Client ermöglicht, das Ticket zu verwenden, solange es gültig ist. Wenn der Benutzer den Informatica-Client herunterfährt und dann neu startet, verwendet der Client das gleiche Ticket wieder, um auf Prozesse und Dienste innerhalb der Informatica-Domäne zuzugreifen.