Handbuch für Sicherheit > Domänensicherheit > Secure Data Storage
  

Secure Data Storage

Informatica encrypts sensitive data, such as passwords and secure connection parameters, before it stores the data in the domain configuration repository. Informatica uses an encryption key to encrypt sensitive data.
During installation, the installer generates the encryption key for the domain. All nodes in a domain must use the same encryption key. If you install on multiple nodes, the installer uses the same encryption key for all nodes in the domain. For more information about generating an encryption key for the domain during installation, see the Informatica installation guides.
After installation, you can change the encryption key for the domain. Run the infasetup command to generate an encryption key and change the encryption key for the domain. After you change the encryption key for the domain, you must upgrade the content of the repositories in the domain to update the encrypted data.
HINWEIS: You must keep the encryption key file in a secure location. The encryption key is required when you change the encryption key for the domain or move a repository to another domain.

Sicheres Verzeichnis unter UNIX

Wenn Sie Informatica installieren, erstellt das Installationsprogramm ein Verzeichnis zum Speichern von Informatica-Dateien, die eingeschränkten Zugriff benötigen, wie die Verschlüsselungsschlüsseldatei der Domäne. Das Installationsprogramm weist unter UNIX unterschiedliche Berechtigungen für das Verzeichnis und die Dateien im Verzeichnis zu.
Standardmäßig erstellt das Installationsprogramm das folgende Verzeichnis im Informatica-Installationsverzeichnis, um den Verschlüsselungsschlüssel zu speichern: <INFA_HOME>/isp/config/keys.
Das Verzeichnis „/keys“ enthält die Verschlüsselungsschlüsseldatei für den Knoten. Wenn Sie die Domäne konfigurieren, um die Kerberos-Authentifizierung zu verwenden, enthält das Verzeichnis auch die Kerberos-Keytab-Dateien.
Während der Installation können Sie ein anderes Verzeichnis festlegen, in dem die Verschlüsselungsdatei gespeichert werden soll. Das Installationsprogramm weist dieselben Berechtigungen zum angegebenen Verzeichnis wie das Standardverzeichnis zu.
Das Verzeichnis „/keys“ und die Dateien im Verzeichnis enthalten die folgenden Berechtigungen:
Verzeichnisberechtigungen
Der Eigentümer des Verzeichnisses verfügt über -wx-Berechtigungen zum Verzeichnis, jedoch über keine r-Berechtigung. Der Eigentümer des Verzeichnisses ist das Benutzerkonto, das zum Ausführen des Installationsprogramms verwendet wird. Die Gruppe, zu der der Eigentümer gehört, verfügt auch über -wx-Berechtigungen zum Verzeichnis, jedoch über keine r-Berechtigung.
Beispiel: Das Benutzerkonto ediqa ist Eigentümer des Verzeichnisses und gehört zur infaadmin-Gruppe. Das ediqa-Benutzerkonto und die infaadmin-Gruppe verfügen über die folgenden Berechtigungen: -wx-wx---
Das ediqa-Benutzerkonto und die infaadmin-Gruppe kann in Dateien im Verzeichnis schreiben und diese ausführen. Sie können die Liste der Dateien im Verzeichnis nicht anzeigen, allerdings können sie eine bestimmte Datei nach dem Namen auflisten.
Wenn Sie den Namen einer Datei im Verzeichnis kennen, können Sie die Datei aus dem Verzeichnis auf einen anderen Speicherort kopieren. Wenn Sie den Namen der Datei nicht kennen, müssen Sie die Berechtigung für das Verzeichnis ändern, um die Leseberechtigung hinzuzufügen, bevor Sie die Datei kopieren können. Sie können den Befehl chmod 730 verwenden, um dem Eigentümer des Verzeichnisses und der Unterverzeichnisse eine Leseberechtigung zu gewähren.
Beispiel: Sie müssen die Verschlüsselungsschlüsseldatei mit dem Namen siteKey in ein temporäres Verzeichnis kopieren, um sie für einen anderen Knoten in der Domäne zugänglich zu machen. Führen Sie den Befehl chmod 730 für das Verzeichnis <Informatica-Installationsverzeichnis>/isp/config aus, um die folgenden Berechtigungen zuzuweisen: „rwx-wx---“. Anschließend können Sie die Verschlüsselungsschlüsseldatei aus dem Unterverzeichnis „/keys“ in ein anderes Verzeichnis kopieren.
Nachdem Sie die Dateien kopiert haben, ändern Sie die Berechtigungen für das Verzeichnis wieder in Schreib- und Ausführungsberechtigungen. Sie können den Befehl chmod 330 zum Entfernen der Leseberechtigung verwenden.
HINWEIS: Verwenden Sie die Option -R nicht, um die Berechtigungen für das Verzeichnis und die Dateien rekursiv zu ändern. Das Verzeichnis und die Dateien im Verzeichnis verfügen über verschiedene Berechtigungen.
Dateiberechtigungen
Der Eigentümer der Dateien im Verzeichnis verfügt über rwx-Berechtigungen für die Dateien. Der Eigentümer der Dateien im Verzeichnis ist das Benutzerkonto, das zum Ausführen des Installationsprogramms verwendet wird. Die Gruppe, zu der der Eigentümer gehört, enthält auch rwx-Berechtigungen für die Dateien im Verzeichnis.
Der Eigentümer und die Gruppe verfügen über vollen Zugriff auf die Datei und kann die Datei im Verzeichnis anzeigen oder bearbeiten.
HINWEIS: Sie müssen den Namen der Datei kennen, um die Datei auflisten oder bearbeiten zu können.

Ändern des Verschlüsselungsschlüssels über die Befehlszeile

Nach der Installation können Sie den Verschlüsselungsschlüssel für die Domäne über die Befehlszeile ändern. Sie müssen die Domäne herunterfahren, bevor Sie den Verschlüsselungsschlüssel ändern.
Verwenden Sie den infasetup-Befehl zum Generieren eines Verschlüsselungsschlüssels und konfigurieren Sie die Domäne, um den neuen Verschlüsselungsschlüssel zu verwenden.
Die folgenden infasetup-Befehle generieren und ändern den Verschlüsselungsschlüssel:
generateEncryptionKey
Generiert einen Verschlüsselungsschlüssel in einer Datei mit dem Namen sitekey. Wenn das für den Verschlüsselungsschlüssel angegebene Verzeichnis eine Datei mit dem Namen sitekey enthält, benennt Informatica die Datei in siteKey_old um.
migrateEncryptionKey
Ändert den Verschlüsselungsschlüssel, der zum Speichern von vertraulichen Daten in der Informatica-Domäne verwendet wird.
Führen Sie zum Ändern des Verschlüsselungsschlüssels für eine Domäne die folgenden Schritte durch:
    1Fahren Sie die Domäne herunter.
    2Sichern Sie die Domäne, bevor Sie den Verschlüsselungsschlüssel ändern.
    Um sicherzustellen, dass Sie die Domäne wiederherstellen können, wenn Probleme beim Ändern des Verschlüsselungsschlüssels auftreten, sichern Sie die Domäne vor dem Ausführen der infasetup-Befehle.
    3Führen Sie zum Generieren eines Verschlüsselungsschlüssels für die Domäne den infasetup-Befehl generateEncryptionKey aus.
    Geben Sie die Option encryptionKeyLocation zum Generieren eines Verschlüsselungsschlüssels an:
    Option
    Argument
    Beschreibung
    -encryptionKeyLocation
    -kl
    encryption_key_location
    Verzeichnis, das den aktuellen Verschlüsselungsschlüssel enthält. Der Name der Verschlüsselungsdatei lautet sitekey.
    Informatica benennt die aktuelle sitekey-Datei in sitekey_old um und generiert einen Verschlüsselungsschlüssel in einer neuen Datei mit dem Namen sitekey im selben Verzeichnis.
    HINWEIS: Das Installationsprogramm erstellt während der Installation und des Upgrades einen Verschlüsselungsschlüssel. Sie benötigen beim Generieren des Site-Schlüssels für die Verschlüsselungsdatei nicht die Optionen für Schlüsselwörter und Domänennamen. Stellen Sie sicher, dass Sie eine Kopie des eindeutigen Site-Schlüssels speichern. Wenn Sie den Site-Schlüssel verlieren, können Sie ihn nicht erneut generieren. Teilen Sie den eindeutigen Site-Schlüssel nicht mit anderen.
    4Führen Sie zum Ändern des Verschlüsselungsschlüssels für die Domäne den Befehl infasetup migrateEncryptionKey aus und geben Sie den Speicherort des alten und neuen Verschlüsselungsschlüssels an.
    Geben Sie die folgenden Optionen an, die zum Ändern des Verschlüsselungsschlüssels für die Domäne erforderlich sind:
    Option
    Argument
    Beschreibung
    -LocationOfEncryptionKeys
    -loc
    location_of_encryption_keys
    Verzeichnis, in dem die alte Verschlüsselungsschlüsseldatei mit dem Namen siteKey_old und die neue Verschlüsselungsschlüsseldatei mit dem Namen siteKey gespeichert sind.
    Das Verzeichnis muss die alten und neuen Verschlüsselungsschlüsseldateien enthalten. Wenn die alten und neuen Verschlüsselungsschlüsseldateien in verschiedenen Verzeichnissen gespeichert werden, kopieren Sie die Verschlüsselungsschlüsseldateien in dasselbe Verzeichnis.
    Wenn die Domäne mehrere Knoten enthält, muss dieses Verzeichnis allen Knoten in der Domäne zugänglich sein, in der Sie den Befehl „migrateEncryptionKey“ ausführen.
    Wenn Sie eine Domäne mit mehreren Knoten migrieren, müssen alle Knoten in der Domäne denselben Verschlüsselungsschlüssel verwenden. Zum Ändern des Verschlüsselungsschlüssels für die Domäne führen Sie den Befehl „infasetup migrateEncryptionKey“ auf allen Knoten in der Domäne aus.
    HINWEIS: Unter UNIX wird beim Dateinamen siteKey_old die Groß- und Kleinschreibung berücksichtigt. Wenn Sie die vorherige Verschlüsselungsschlüsseldatei manuell umbenennen, überprüfen Sie die Groß- und Kleinschreibung beim Dateinamen auf ihre Richtigkeit.
    -IsDomainMigrated
    -mig
    is_domain_migrated
    Gibt an, ob die Domäne für die Verwendung des neuesten Verschlüsselungsschlüssels aktualisiert wurde.
    Beim erstmaligen Ausführen des Befehls „migrateEncryptionKey“ legen Sie diese Option auf FALSE fest, um anzugeben, dass die Domäne den alten Verschlüsselungsschlüssel verwendet.
    Nach dem erstmaligen Ausführen des Befehls „migrateEncryptionKey“ zum Aktualisieren anderer Knoten in der Domäne setzen Sie diese Option auf TRUE fest, um anzugeben, dass die Domäne für die Verwendung des neuesten Verschlüsselungsschlüssels aktualisiert wurde. Sie können den Befehl „migrateEncryptionKey“ auch ohne diese Option ausführen.
    Standardwert ist „true“.
    5Führen Sie den infasetup-Befehl auf jedem Knoten in der Domäne aus.
    Wenn die Domäne mehrere Knoten enthält, führen Sie „infasetup migrateEncryptionKey“ auf jedem Knoten aus. Führen Sie den Befehl auf den Gateway-Knoten aus, bevor Sie den Befehl auf den Arbeitsknoten ausführen. Sie können die IsDomainMigrated-Option nach dem erstmaligen Ausführen des Befehls ausführen.
    6Starten Sie die Domäne neu.
    Sie müssen ein Upgrade für alle Repository-Dienste in der Domäne ausführen, um vertrauliche Daten in den Repositorys mit dem neuen Verschlüsselungsschlüssel zu aktualisieren und zu verschlüsseln. Sie müssen auch den Site-Schlüssel nach dem Upgrade der Domäne migrieren.
    7Aktualisieren Sie alle Modellrepository-Dienste, PowerCenter-Repository-Dienste und Metadata Manager-Dienste.
    Upgrades für Modellrepository-Dienste und PowerCenter-Repository-Dienste können Sie im Administrator Tool oder an der Eingabeaufforderung durchführen. Upgrades für Metadata Manager-Dienste können Sie im Administrator Tool ausführen.
    HINWEIS: Der Metadata Manager-Dienst muss deaktiviert werden, bevor Sie das Upgrade des Diensts durchführen können.
    Wählen Sie im Kopfzeilenbereich des Administrator Tool Verwalten > Upgrade, um ein Upgrade für einen Dienst durchzuführen. Wenn Sie mehrere Dienste wählen, führt das Administrator Tool die Upgrades für die Dienste in der richtigen Reihenfolge durch.
    Verwenden Sie einen der folgenden Befehle, um ein Upgrade für einen Dienst an der Eingabeaufforderung durchzuführen:
    Repository-Diensttyp
    Befehl
    Modellrepository-Dienst
    infacmd mrs UpgradeContents
    PowerCenter-Repository-Dienst
    pmrep Upgrade