Kerberos-Delegierung
Die Kerberos-Delegierung ermöglicht einem Kerberos-Dienst, die Identität eines Kerberos-Clientbenutzers anzunehmen und im Namen des Clientbenutzers ein Dienstticket für einen anderen Dienst zu erhalten.
Die Dienste in einer Informatica-Domäne müssen eine Verbindung zu anderen Diensten herstellen, um einen Vorgang abzuschließen. Sie können über delegierte Authentifizierung eine Verbindung zu anderen Diensten herstellen. Wenn ein Benutzer bei der delegierten Authentifizierung von einem Dienst authentifiziert wird, verwendet der Dienst diese Anmeldeinformationen, um eine Verbindung mit einem anderen Dienst herzustellen. Wenn beispielsweise ein pmcmd-Benutzer auf den Power Center-Integrationsdienst zugreift, fungiert der Dienst als pmcmd-Benutzer, um sich beim Power Center Repository-Dienst zu authentifizieren.
Arten der Kerberos-Delegierung
Wenn Sie die delegierte Authentifizierung verwenden, können Sie einen der folgenden Delegierungstypen auswählen:
- Vollständige Delegierung
- Die vollständige Delegierung ist die anfängliche Implementierung der Kerberos-Delegierung. Bei dieser Delegierungsmethode leitet ein Client sein Ticket Granting Ticket (TGT) nach der Kerberos-Authentifizierung an einen Dienst weiter. Der Dienst verwendet das TGT, um Diensttickets für den Zugriff auf einen beliebigen anderen Dienst im Netzwerk zu erhalten. Diese Art der Delegierung gilt nicht als sicher, da ein Administrator die Dienste, auf die der Server mit der Clientidentität zugreifen kann, nicht steuern kann. Die vollständige Delegierung wird auch als uneingeschränkte Delegierung bezeichnet.
- Ressourcenbasierte eingeschränkte Delegierung
Mit der ressourcenbasierten eingeschränkten Delegierung können Administratoren die Verwendung der Clientidentität durch die Dienste einschränken. Bei dieser Delegierungsmethode leitet der Client TGT nicht an den Server weiter. Bei dieser Methode geben die Dienste an, wem sie vertrauen und wer die Authentifizierung an sie delegieren kann.
Die eingeschränkte Delegierung verwendet Kerberos-Protokollerweiterungen mit der Bezeichnung „Service for User (S4U)“, die es einem Dienst ermöglichen, ein Kerberos-Dienstticket im Namen eines Benutzers abzurufen.
HINWEIS: Sie können die eingeschränkte Delegierung nicht zusammen mit der vollständigen Delegierung in ein und derselben Domäne verwenden. Sie können die Domäne so konfigurieren, dass entweder die vollständige Delegierung oder die eingeschränkte Delegierung verwendet wird.
Service for User (S4U)-Erweiterung
Service for User (S4U)-Erweiterungen ermöglichen einem Dienst, ein Kerberos-Dienstticket im Namen eines Benutzers abzurufen. Im Folgenden sind die zwei Arten von S4U-Erweiterungen aufgeführt:
- •Service for User to Self (S4U2Self). Diese Erweiterung ermöglicht es einem Dienst, im Namen eines Clientbenutzers ein Dienstticket für sich selbst zu erhalten.
- •Service for User to Proxy (S4U2Proxy). Diese Erweiterung ermöglicht es einem Dienst, im Namen eines Clientbenutzers ein Dienstticket für einen anderen Dienst zu erhalten. Um S4U2Proxy auszuführen, benötigt ein Dienst ein Dienstticket für sich selbst. Das Dienstticket kann vom Clientbenutzer vorgelegt oder über die S4U2Self-Erweiterung bezogen werden.
Weitere Informationen zu den S4U-Erweiterungen finden Sie in der Microsoft-Dokumentation.
Aktivieren der ressourcenbasierten eingeschränkten Delegierung mit S4U2Self
Stellen Sie sicher, dass das Weiterleitungs-Flag im Abschnitt „libdefaults“ der Datei krb5.conf auf TRUE festgelegt ist.
Sie können die ressourcenbasierte eingeschränkte Delegierung nur über Powershell-Befehle konfigurieren. Stellen Sie sicher, dass Powershell von einem Benutzer mit den erforderlichen Berechtigungen zum Ändern der Eigenschaften von KDC-Konten gestartet wird, vorzugsweise von einem KDC-Administrator.
Um die ressourcenbasierte eingeschränkte Delegierung mit S4U2Self zu aktivieren, führen Sie die folgenden Schritte für jedes Informatica-Keytab-Konto auf dem KDC-Server aus:
1Klicken Sie mit der rechten Maustaste auf das Benutzerkonto und wählen Sie Eigenschaften aus.
Das Dialogfeld Eigenschaften wird angezeigt.
2Klicken Sie auf der Registerkarte Delegierung auf Diesem Computer nicht für die Delegierung vertrauen.
3Klicken Sie auf Anwenden.
4Führen Sie den folgenden Befehl aus, um das Attribut PrincipalsAllowedToDelegateToAccount festzulegen:
$IntermediateService = Get-ADUser -Identity <samAccountName des Zwischenserverkontos> -Properties *
Set-ADUser -Identity <samAccountName des Zielserverkontos> -PrincipalsAllowedToDelegateToAccount $IntermediateService1, $IntermediateService2, $IntermediateService3
HINWEIS: Sie können durch Kommas getrennte Werte verwenden, um mehrere Konten im Attribut PrincipalsAllowedToDelegateToAccount hinzuzufügen.
5Wenn Sie die Einstellung des Attributs PrincipalsAllowedToDelegateToAccount aufheben möchten, führen Sie den folgenden Befehl aus:
Set-ADUser -Identity <samAccountName des Zielserverkontos> PrincipalsAllowedToDelegateToAccount $null
6Um vorhandene Prinzipale in der Liste PrincipalsAllowedToDelegateToAccount anzuzeigen, führen Sie die folgenden Befehle aus:
$FormatEnumerationLimit=-1
Get-ADUser -Identity <sam-Kontoname> -properties
PrincipalsAllowedToDelegateToAccount
HINWEIS: Standardmäßig zeigt die Ausgabe des Powershell-Befehls vier Werte in der Dienstprinzipalliste in der Ausgabe an. Setzen Sie diesen Parameter auf -1, um die vollständige Liste der Prinzipale anzuzeigen.
Aktivieren der vollständigen Delegierung für die Kerberos-Prinzipalbenutzerkonten in Active Directory
Erstellen Sie die Keytab-Dateien mit dem ktpass-Befehl.
Damit Sie die vollständige Delegierung verwenden können, müssen Sie die Delegierung für alle von Ihnen erstellten Konten aktivieren, mit Ausnahme des LDAP-Bind-Benutzerkontos, das Sie zum Zugriff auf und Durchsuchen von Active Directory während der LDAP-Synchronisierung verwenden.
Führen Sie die folgenden Schritte für jedes Benutzerkonto aus, um die vollständige Delegierung zu aktivieren:
1Klicken Sie mit der rechten Maustaste auf das Benutzerkonto und wählen Sie Eigenschaften aus.
Das Dialogfeld Eigenschaften wird angezeigt.
2Klicken Sie auf der Registerkarte Delegierung auf Diesem Benutzer nur für die Delegierung an beliebige Dienste vertrauen (nur Kerberos).
3Klicken Sie auf Anwenden.
Die vollständige Delegierung ist aktiviert.
Wechseln von der vollständigen Delegierung zur eingeschränkten Delegierung
Wenn Sie die vollständige Delegierung verwenden und die eingeschränkte Delegierung verwenden möchten, führen Sie die folgenden Schritte aus.
1 Fahren Sie die Domäne herunter.
3 Starten Sie die Domäne.