Handbuch für Sicherheit > Kerberos-Authentifizierung > Vorbereiten der Aktivierung der Kerberos-Authentifizierung

Vorbereiten der Aktivierung der Kerberos-Authentifizierung

Sie müssen mehrere Aufgaben ausführen, um die Aktivierung der Kerberos-Authentifizierung in einer Informatica-Domäne vorzubereiten. Die Verfahren, die Sie für die einzelnen Aufgaben befolgen, hängen von der Dienstprinzipalebene ab, auf der Sie Kerberos aktivieren.

HINWEIS: Sie können Kerberos-Authentifizierung in einer Domäne nach der Aktivierung nicht mehr deaktivieren. Es ist auch nicht möglich, die Dienstprinzipalebene zwischen der Knotenebene und der Prozessebene umzuschalten.

Bestimmen der Kerberos-Dienstprinzipalebene

Wenn Sie die Aktivierung der Kerberos-Authentifizierung vorbereiten, müssen Sie die erforderliche Dienstprinzipalebene bestimmen. Die erforderliche Dienstprinzipalebene bestimmt die Verfahren, die Sie zum Vorbereiten der Aktivierung der Kerberos-Authentifizierung in der Domäne befolgen müssen.

Sie können Kerberos-Authentifizierung auf einer der folgenden Ebenen aktivieren:

Knotenebene
Prozessebene

Konfigurieren der Kerberos-Konfigurationsdatei

Legen Sie die Eigenschaften fest, die von Informatica für die Kerberos-Konfigurationsdatei gefordert werden, und kopieren Sie die Datei dann auf jeden Knoten in der Informatica-Domäne.

Kerberos speichert Konfigurationsinformationen in einer Datei mit der Bezeichnung krb5.conf: Sie müssen die Eigenschaften in der Konfigurationsdatei „krb5.conf“ festlegen und die Datei anschließend auf jeden Knoten in der Informatica-Domäne kopieren.

Wenn in der Domäne die bereichsübergreifende Kerberos-Authentifizierung verwendet wird, geben Sie die notwendigen Eigenschaften für jeden Kerberos-Bereich ein.

1Konfigurieren Sie die folgenden Eigenschaften der Kerberos-Bibliothek im Abschnitt libdefaults der Datei.

In der folgenden Tabelle werden die einzugebenden Eigenschaften beschrieben:

Eigenschaft	Beschreibung
default_realm	Name des Kerberos-Bereichs, zu dem die Informatica-Domänendienste gehören. Der Bereichsname muss aus Großbuchstaben bestehen. Wird in der Domäne ein einzelner Kerberos-Bereich für die Authentifizierung verwendet, müssen der Name des Dienstbereichs und der Name des Benutzerbereichs identisch sein.
forwardable	Ermöglicht es einem Dienst, Client-Benutzeranmeldedaten an einen anderen Dienst zu delegieren. Für die Informatica-Domäne müssen Anwendungsdienste die Client-Benutzeranmeldedaten bei anderen Diensten authentifizieren. Setzen Sie den Wert auf „true“.
default_tkt_enctypes	Verschlüsselungstypen für den Sitzungsschlüssel, der in den Ticket-Granting-Tickets (TGT) enthalten ist. Legen Sie diese Eigenschaft nur fest, wenn Sitzungsschlüssel spezifische Verschlüsselungstypen verwenden müssen. Vergewissern Sie sich, dass das Key Distribution Center (KDC) von Kerberos den angegebenen Verschlüsselungstyp unterstützt. Legen Sie diese Eigenschaft nicht fest, um zuzulassen, dass das Kerberos-Protokoll den zu verwendenden Verschlüsselungstyp auswählt. Wenn die Knotenhosts oder die Informatica-Clienthosts 256-Bit-Verschlüsselung verwenden, installieren Sie die Unlimited Strength JCE-Richtliniendateien (Java Cryptography Extension) auf allen Knotenhosts und Informatica-Clienthosts, um Authentifizierungsprobleme zu vermeiden.
rdns	Bestimmt, ob Reverse Name Lookup zusätzlich zu Forward Name Lookup verwendet wird, um Hostnamen für die Verwendung in Dienstprinzipalnamen zu kanonisieren. Setzen Sie den Wert auf „false“.
renew_lifetime	Die verlängerbare Standardlebensdauer für anfängliche Ticketanfragen.
ticket_lifetime	Die Standardlebensdauer für anfängliche Ticketanfragen.
udp_preference_limit	Legt das Protokoll fest, das Kerberos beim Senden einer Meldung an das KDC verwendet. Legen Sie den Wert auf 1 fest, um das TCP-Protokoll zu verwenden, wenn in der Domäne immer wieder Kerberos-Authentifizierungsfehler auftreten.
dns_lookup_kdc	Gibt an, ob der Kerberos-Client die KDCs und andere Server für einen Bereich, falls diese nicht in den Informationen für den Bereich aufgeführt sind, mithilfe von DNS-SRV-Datensätzen sucht. Anhand von SRV-Datensätzen ermittelt DNS Computer, die bestimmte Dienste hosten. Erforderlich, wenn die Domäne Kerberos-fähig ist. Erfordert die Festlegung der Bereichseigenschaft „admin_server“. Setzen Sie den Wert auf „true“.
dns_lookup_realm	Gibt an, ob der Kerberos-Client den Kerberos-Bereich eines Hosts mithilfe von DNS-TXT-Datensätzen bestimmt. Anhand von TXT-Datensätzen verknüpft DNS beliebigen Text, beispielsweise visuell lesbare Informationen zu einem Server, Netzwerk, Datencenter oder anderen Buchhaltungsinformationen, mit einem Hostnamen oder anderen Namen. Erforderlich, wenn die Domäne Kerberos-fähig ist. Setzen Sie den Wert auf „true“.

2Definieren Sie die einzelnen Kerberos-Bereiche im Abschnitt realms der Datei.

Das folgende Beispiel zeigt den Eintrag für einen Kerberos-Bereich mit dem Namen COMPANY.COM:

[realms]
COMPANY.COM = {...}

3Geben Sie die folgenden Bereichseigenschaften in Klammern für jeden Kerberos-Bereich im Abschnitt realms der Datei ein.

In der folgenden Tabelle werden die einzugebenden Eigenschaften beschrieben:

Eigenschaft	Beschreibung
admin_server	Der Name oder die IP-Adresse des Kerberos-Verwaltungsserverhosts. Sie können eine optionale Portnummer einschließen, die durch einen Doppelpunkt vom Hostnamen getrennt wird. Der Standardwert ist 749. Erforderlich, wenn Sie „dns_lookup_kdc“ im Abschnitt libdefaults konfigurieren.
kdc	Der Name oder die IP-Adresse eines Hosts, der das Key Distribution Center (KDC) für den Bereich ausführt. Sie können eine optionale Portnummer einschließen, die durch einen Doppelpunkt vom Hostnamen getrennt wird. Der Standardwert ist 88.

Das folgende Beispiel zeigt die Einträge für jeden Kerberos-Bereich in einer bereichsübergreifenden Kerberos-Konfiguration:

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111
}

4Ordnen Sie im Abschnitt domain_realms den Domänen- oder Hostnamen einem Kerberos-Bereichsnamen zu. Der Domänenname weist als Präfix einen Punkt (.) auf.

Das folgende Beispiel zeigt die Parameter für den Hadoop-Bereich „domain_realm“, wenn die Informatica-Domäne die Kerberos-Authentifizierung nicht verwendet:

[domain_realm]
.hadoop_realm.com = HADOOP-REALM
hadoop_realm.com = HADOOP-REALM

Das folgende Beispiel zeigt die Parameter für den Hadoop-Bereich „domain_realm“, wenn die Informatica-Domäne die Kerberos-Authentifizierung verwendet:

[domain_realm]
.infa_ad_realm.com = INFA-AD-REALM
infa_ad_realm.com = INFA-AD-REALM
.hadoop_realm.com = HADOOP-REALM
hadoop_realm.com = HADOOP-REALM

5Kopieren Sie die Datei krb5.conf in die folgenden Verzeichnisse auf dem Computer, auf dem der Datenintegrationsdienst gehostet wird:

- <Informatica-Installationsverzeichnis>/services/shared/security
- <Informatica-Installationsverzeichnis>/java/jre/lib/security/

Das folgende Beispiel zeigt den Inhalt einer Kerberos-Konfigurationsdatei mit den notwendigen Eigenschaften für eine Kerberos-Konfiguration für Einzelbereiche:

Das folgende Beispiel zeigt den Inhalt einer Kerberos-Konfigurationsdatei mit den notwendigen Eigenschaften für eine bereichsübergreifende Kerberos-Konfiguration:

[libdefaults]
default_realm = COMPANY.COM
forwardable = true
rdns = false
renew_lifetime = 7d
ticket_lifetime = 24h
udp_preference_limit = 1
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
COMPANY.COM = {
admin_server = KDC01.COMPANY.COM:749
kdc = KDC01.COMPANY.COM:88
}
EAST.COMPANY.COM = {
kdc = 10.75.141.193
admin_server = 10.75.141.193
}
WEST.COMPANY.COM = {
kdc = 10.78.140.111
admin_server = 10.78.140.111

[domain_realm]
.company.com = COMPANY.COM
company.com = COMPANY.COM
.east.company.com = EAST.COMPANY.COM
east.company.com = EAST.COMPANY.COM
.west.company.com = WEST.COMPANY.COM
west.company.com = WEST.COMPANY.COM

Weitere Informationen zur Kerberos-Konfigurationsdatei finden Sie in der Dokumentation zur Kerberos-Netzwerkauthentifizierung.

Erstellen der Kerberos-Prinzipalkonten in Active Directory

Erstellen Sie die LDAP-Benutzerkonten für die Kerberos-Prinzipale in Active Directory. Ein Kerberos-Prinzipal ist ein Prozess, Dienst oder Benutzer innerhalb des Kerberos-Bereichs.

Wenn Sie die Eigenschaft „default_tkt_enctypes“ in der Konfigurationsdatei „krb5.conf“ auf die 128-Bit- oder 256-Bit-AES-Verschlüsselungstypen festlegen, konfigurieren Sie jedes Konto für die Verwendung des entsprechenden Verschlüsselungstyps in Active Directory.

Welche Konten erstellt werden, hängt davon ab, ob Sie Kerberos auf Knotenebene oder auf Prozessebene aktivieren.

HINWEIS: Kontonamen können maximal 20 Zeichen umfassen.

Auf Knotenebene erforderliche Konten

Erstellen Sie die LDAP-Benutzerkonten, die zur Aktivierung der Kerberos-Authentifizierung auf Knotenebene erforderlich sind, in Active Directory.

Erstellen Sie die folgenden Kerberos-Prinzipalkonten in Active Directory, wenn Sie Kerberos auf Knotenebene aktivieren:

Knotenprozesse: Erstellen Sie ein Konto für jeden Knoten, der in der Domäne ausgeführt wird.
HTTP-Prozess: Erstellen Sie ein Konto für die Informatica-Webanwendungen, die auf einem Knoten in der Domäne ausgeführt werden. Zu den Webanwendungen, die auf einem Knoten ausgeführt werden können, gehören beispielsweise das Administrator Tool, Informatica Analyst und Catalog Administrator. Erstellen Sie ein einzelnes Konto, das von allen auf dem Knoten ausgeführten Webanwendungen gemeinsam genutzt wird.
Distinguished Name (DN) des Bind-Benutzers: Erstellen Sie ein LDAP-Bind-Benutzerkonto, das Sie zum Synchronisieren der LDAP-Sicherheitsdomäne, welche die Kerberos-Benutzerkonten enthält, mit Active Directory verwenden.

Auf Prozessebene erforderliche Konten

Erstellen Sie die LDAP-Benutzerkonten, die zur Aktivierung der Kerberos-Authentifizierung auf Prozessebene erforderlich sind, in Active Directory.

Erstellen Sie die folgenden Kerberos-Prinzipalkonten in Active Directory, wenn Sie Kerberos auf Prozessebene aktivieren:

Knotenprozesse: Erstellen Sie ein Konto für jeden Knoten, der in der Domäne ausgeführt wird.
HTTP-Prozesse: Erstellen Sie ein Konto für die Informatica-Webanwendungen, die auf einem Knoten in der Domäne ausgeführt werden. Zu den Webanwendungen, die auf einem Knoten ausgeführt werden können, zählen beispielsweise Informatica Analyst und Catalog Administrator. Erstellen Sie ein einzelnes Konto, das von allen auf dem Knoten ausgeführten Webanwendungen gemeinsam genutzt wird.
Informatica Administrator-Dienst: Erstellen Sie ein Konto für das Administrator Tool auf jedem Gateway-Knoten in der Domäne.
Informatica-Anwendungsdienste: Erstellen Sie ein Konto für jeden Informatica-Anwendungsdienst, der auf den einzelnen Knoten in der Domäne ausgeführt wird.
Distinguished Name (DN) des Bind-Benutzers: Erstellen Sie ein LDAP-Benutzerkonto, das Sie zum Synchronisieren der LDAP-Sicherheitsdomäne, welche die Kerberos-Benutzerkonten enthält, mit Active Directory verwenden.

Generieren der Formate für Dienstprinzipalnamen und Keytab-Dateinamen

Verwenden Sie das Dienstprogramm SPN-Formatgenerator von Informatica für Kerberos, um die Formate für den Dienstprinzipalnamen (SPN) und den Keytab-Dateinamen zu generieren, die für die Verwendung der Kerberos-Authentifizierung erforderlich sind. Das Dienstprogramm SPN-Formatgenerator für Kerberos generiert eine Textdatei mit dem Namen „SPNKeytabFormat.txt“, die das korrekte Format für die SPNs und die Keytab-Dateinamen enthält.

Welche SPN- und Keytab-Dateinamensformate generiert werden, hängt davon ab, ob Sie Kerberos auf Knotenebene oder auf Prozessebene aktivieren.

Generieren der Formate für Dienstprinzipalnamen und Keytab-Dateinamen auf Knotenebene

Generieren Sie die Formate für die SPNs und die Keytab-Dateinamen, die zum Aktivieren der Kerberos-Authentifizierung auf Knotenebene erforderlich sind.

Die Informatica-Domäne erfordert SPNs und Keytab-Dateien für die folgenden Prozesse, wenn Sie Kerberos-Authentifizierung auf Knotenebene aktivieren:

Knotenprozesse: Informatica erfordert einen SPN und eine Keytab-Datei für jeden Knoten in der Domäne. Kerberos verwendet den gleichen Dienstprinzipalnamen und Keytab zum Authentifizieren der Informatica-Anwendungsdienste, die auf dem Knoten ausgeführt werden.
HTTP-Prozesse: Informatica erfordert einen SPN und eine Keytab-Datei für die Webanwendungen, die auf den einzelnen Knoten in der Domäne ausgeführt werden. Zu den Webanwendungen, die auf einem Knoten ausgeführt werden können, gehören beispielsweise das Administrator Tool, Informatica Analyst und Catalog Administrator. Kerberos verwendet den gleichen Dienstprinzipalnamen zum Authentifizieren aller Webanwendungen, die auf dem Knoten ausgeführt werden.

1Gehen Sie auf einem Windows Informatica-Knotenhost zu dem Verzeichnis, das die Batchdatei „SPNFormatGenerator.bat“ enthält:

<Informatica-Installationsverzeichnis>\tools\Kerberos

Navigieren Sie auf einem UNIX Informatica-Knotenhost zu dem Verzeichnis, das die Shell-Datei „SPNFormatGenerator.sh“ enthält:

<Informatica-Installationsverzeichnis>/tools/Kerberos

2Führen Sie „SPNFormatGenerator.bat“ bzw. „SPNFormatGenerator.sh“ aus.

3Klicken Sie auf Weiter.

4Wählen Sie Knotenebene aus.

5Klicken Sie auf Weiter.

6Geben Sie die erforderlichen Eigenschaften zum Generieren der SPN- und Keytab-Dateiformate ein.

In der folgenden Tabelle werden die Eigenschaften beschrieben:

Eingabeaufforderung	Beschreibung
Domänenname	Name der Informatica-Domäne. Der Name darf maximal 128 Zeichen umfassen und muss im 7-Bit-ASCII-Format vorliegen. Er darf weder Leerzeichen noch die folgenden Zeichen enthalten: ` % * + ; " ? , < > \ /
Dienstbereichsname	Name des Kerberos-Bereichs. Der Bereichsname muss aus Großbuchstaben bestehen.
Knotenname	Name des Informatica-Knotens
Hostname des Knotens	Vollqualifizierter Name des Knotenhosts. Der Hostname des Knotens darf keine Unterstriche (_) enthalten. HINWEIS: Verwenden Sie nicht localhost. Der Hostname muss den Host eindeutig kennzeichnen.

7Zum Generieren des SPN-Formats für einen zusätzlichen Knoten klicken Sie auf +Knoten, und geben Sie den Knotennamen und Hostnamen an.

Die folgende Abbildung zeigt die Einträge für mehrere Knoten in der InfaDomain-Domäne im Dienstprogramm „SPN-Formatgenerator“:

Im Dienstprogramm „SPN-Formatgenerator“ werden der Domänenname, der Bereichsname des Kerberos-Diensts sowie alle eingegebenen Knoten- und Knotenhostnamen angezeigt.

8Klicken Sie auf Weiter.

Das Dienstprogramm „SPN-Formatgenerator“ zeigt den Pfad und Namen der Datei an, die die Liste der Dienstprinzipalnamen und Keytab-Dateinamen enthält.

9Klicken Sie auf Fertig, um das Dienstprogramm „SPN-Formatgenerator“ zu beenden.

Generieren der Formate für Dienstprinzipalnamen und Keytab-Dateinamen auf Prozessebene

Generieren Sie die Formate für die SPNs und die Keytab-Dateinamen, die zum Aktivieren der Kerberos-Authentifizierung auf Prozessebene erforderlich sind.

Die Informatica-Domäne erfordert SPNs und Keytab-Dateien für die folgenden Prozesse und Dienste, wenn Sie Kerberos-Authentifizierung auf Prozessebene aktivieren:

Knotenprozesse: Informatica erfordert einen SPN und eine Keytab-Datei für jeden Knoten in der Domäne.
Informatica Administrator: Informatica erfordert einen SPN und eine Keytab-Datei für das Administrator Tool für jeden Gateway-Knoten in der Domäne.
HTTP-Prozesse: Informatica erfordert einen SPN und eine Keytab-Datei für die Webanwendungen, die auf einem Knoten in der Domäne ausgeführt werden. Zu den Webanwendungen, die auf einem Knoten ausgeführt werden können, zählen beispielsweise Informatica Analyst und Catalog Administrator.
Informatica-Anwendungsdienstprozesse: Informatica erfordert einen SPN und eine Keytab-Datei für jeden Informatica-Anwendungsdienst, der auf den einzelnen Knoten in der Domäne ausgeführt wird.

1Gehen Sie auf einem Windows Informatica-Knotenhost zu dem Verzeichnis, das die Batchdatei „SPNFormatGenerator.bat“ enthält:

<Informatica-Installationsverzeichnis>\tools\Kerberos

Navigieren Sie auf einem UNIX Informatica-Knotenhost zu dem Verzeichnis, das die Shell-Datei „SPNFormatGenerator.sh“ enthält:

<Informatica-Installationsverzeichnis>/tools/Kerberos

2Führen Sie „SPNFormatGenerator.bat“ bzw. „SPNFormatGenerator.sh“ aus.

3Klicken Sie auf Weiter.

4Wählen Sie Prozessebene aus.

5Klicken Sie auf Weiter.

6Geben Sie die erforderlichen Eigenschaften zum Generieren der SPN- und Keytab-Dateiformate ein.

In der folgenden Tabelle werden die Eigenschaften beschrieben:

Eingabeaufforderung	Beschreibung
Domänenname	Name der Informatica-Domäne. Der Name darf maximal 128 Zeichen umfassen und muss im 7-Bit-ASCII-Format vorliegen. Er darf weder Leerzeichen noch die folgenden Zeichen enthalten: ` % * + ; " ? , < > \ /
Dienstbereichsname	Name des Kerberos-Bereichs. Der Bereichsname muss aus Großbuchstaben bestehen.
Knotenname	Name des Informatica-Knotens
Hostname des Knotens	Vollqualifizierter Name oder die IP-Adresse des Knotenhosts. Der Hostname des Knotens darf keine Unterstriche (_) enthalten. HINWEIS: Verwenden Sie nicht localhost. Der Hostname muss den Host eindeutig kennzeichnen.

7Um das SPN-Format für einen Informatica-Anwendungsdienst zu generieren, der auf einem Knoten ausgeführt wird, klicken Sie nach Eingabe der Knotendetails auf Dienst.

Geben Sie den Namen des Informatica-Anwendungsdiensts ein, wie im Administrator Tool gezeigt. Führen Sie diesen Schritt für jeden Informatica-Anwendungsdienst aus, der auf den einzelnen Knoten in der Domäne ausgeführt wird.

8Zum Generieren des SPN-Formats für einen zusätzlichen Knoten klicken Sie auf +Knoten, und geben Sie den Knotennamen und Hostnamen an.

Die folgende Abbildung zeigt die Einträge für mehrere Knoten und Anwendungsdienste, die in der InfaDomain-Domäne im Dienstprogramm „SPN-Formatgenerator“ ausgeführt werden:

9Klicken Sie auf Weiter.

Das Dienstprogramm „SPN-Formatgenerator“ zeigt den Pfad und Namen der Datei an, die die Liste der Dienstprinzipalnamen und Keytab-Dateinamen enthält.

10Klicken Sie auf Fertig, um das Dienstprogramm „SPN-Formatgenerator“ zu beenden.

Überprüfen der Textdatei der Formate für Dienstprinzipalnamen und Keytab-Dateinamen

Nachdem Sie die Datei „SPNKeytabFormat.txt“ generiert haben, können Sie die Datei überprüfen.

Sie verwenden die Informationen in der Datei zum Generieren der Keytab-Dateien und zum Zuordnen jedes SPN zum entsprechenden Prinzipalbenutzerkonto in Active Directory.

Die Datei „SPNKeytabFormat.txt“ enthält die folgenden Informationen:

Entitätsname: Identifiziert den Knoten oder Dienst, der mit dem Prozess verknüpft ist.
Dienstprinzipalname: Format für den SPN. Beim SPN wird die Groß- und Kleinschreibung beachtet.; In der folgenden Tabelle werden die SPN-Formate beschrieben:
Keytab-Dateiname: Format für den Namen der Keytab-Datei, die für den zugeordneten SPN erstellt werden soll. Beim Keytab-Dateinamen ist die Groß- und Kleinschreibung zu berücksichtigen.; Die folgende Tabelle beschreibt die Formate für Keytab-Dateinamen:

Keytab-Typ	SPN-Format
NODE_SPN	isp/<Knotenname>/<Domänenname>@<BEREICHSNAME>
NODE_AC_SPN	_AdminConsole/<Knotenname>/<Domänenname>@<BEREICHSNAME>
NODE_HTTP_SPN	HTTP/<Knoten-Hostname>@<BEREICHSNAME> HINWEIS: Der Kerberos SPN-Formatgenerator validiert den Knoten-Hostnamen. Wenn der Knoten-Hostname nicht gültig ist, generiert das Dienstprogramm keinen SPN. Stattdessen zeigt es die folgende Meldung an: Fehler beim Auflösen des Hostnamens.
SERVICE_PROCESS_SPN	<Anwendungsdienstname>/<Knotenname>/<Domänenname>@<BEREICHSNAME>

Keytab-Typ	Keytab-Dateiname
NODE_SPN	<Knotenname>.keytab
NODE_AC_SPN	_AdminConsole.keytab
NODE_HTTP_SPN	webapp_http.keytab
SERVICE_PROCESS_SPN	<Anwendungsdienstname>.keytab

Dienstprinzipale auf der Knotenebene

Die folgende Abbildung zeigt den Inhalt der Datei „SPNKeytabFormat.txt“, die für Dienstprinzipale auf der Knotenebene generiert wurde:

In der Beispieldatei „SPNKeytabFormat.txt“ werden die Dienstprinzipalnamen und die Keytab-Dateinamen angezeigt, die auf Knotenebene erzeugt wurden.

Dienstprinzipale auf der Prozessebene

Die folgende Abbildung zeigt den Inhalt der Datei „SPNKeytabFormat.txt“, die für Dienstprinzipale auf der Prozessebene generiert wurde:

In der Beispieldatei „SPNKeytabFormat.txt“ werden die Dienstprinzipalnamen und die Keytab-Dateinamen angezeigt, die auf Prozessebene erzeugt wurden.

Generieren der Keytab-Dateien

Generieren Sie die Keytab-Dateien, die zum Authentifizieren der Informatica-Benutzer und -Dienste verwendet werden.

Sie verwenden das Dienstprogramm „ktpass“ von Microsoft Windows Server, um eine Keytab-Datei für jedes Benutzerkonto zu generieren, das Sie in Active Directory erstellt haben. Sie müssen die Keytab-Dateien auf einem Mitgliedsserver oder einem Domänencontroller innerhalb der Active Directory-Domäne generieren. Sie können Keytab-Dateien nicht auf einem Workstation-Betriebssystem wie Microsoft Windows 7 generieren.

Um „ktpass“ zum Generieren einer Keytab-Datei zu verwenden, führen Sie den folgenden Befehl aus:

ktpass.exe -out <keytab filename> -princ <service principal name> -mapuser <user account> [-pass <user account password>] -crypto <key types> -ptype <principal type> [-target <realm name>]

In der folgenden Tabelle werden die Befehlsoptionen beschrieben:

Option	Beschreibung
-out	Der Dateiname der zu generierenden Kerberos-Keytab-Datei, der in der Spalte KEY_TAB_NAME in der Datei „SPNKeytabFormat.txt“ angezeigt wird.
-princ	Der Dienstprinzipalname, der in der Spalte SPN in der Datei „SPNKeytabFormat.txt“ angezeigt wird. Wenn in der Domäne die bereichsübergreifende Kerberos-Authentifizierung verwendet wird, muss der Dienstprinzipalname in allen Kerberos-Bereichen eindeutig sein.
-mapuser	Das Active Directory-Benutzerkonto, das dem SPN zugeordnet wird. Der Kontoname kann maximal 20 Zeichen umfassen.
-pass	Das in Active Directory festgelegte Passwort für das Active Directory-Benutzerkonto, falls zutreffend.
-crypto	Gibt die in der Keytab-Datei generierten Schlüsseltypen an. Legen Sie „Alle“ fest, um alle unterstützten Verschlüsselungstypen zu verwenden.
-ptype	Der Prinzipaltyp. Legen Sie ihn auf KRB5_NT_PRINCIPAL fest.
-target	Der Name des Bereichs, zu dem der Active Directory-Server gehört. Schließen Sie diese Option ein, wenn der folgende Fehler beim Ausführen des Dienstprogramms auftritt: DsCrackNames hat 0x2 im Namen zurückgegeben

Welche Keytab-Dateien generiert werden, hängt davon ab, ob Sie Kerberos auf Knotenebene oder auf Prozessebene aktivieren.

Generieren der Keytab-Dateien auf Knotenebene

Wenn Sie „ktpass“ zum Generieren der Keytab-Dateien auf Knotenebene ausführen, ordnen Sie jedem Kerberos-Prinzipalbenutzerkonto den entsprechenden SPN in Active Directory zu.

Die folgende Tabelle zeigt die Zuordnung zwischen den Kerberos-Prinzipalbenutzerkonten und den SPNs anhand der Beispieldatei „SPNKetabFormat.txt“:

Benutzerkonto	Keytab-Typ	Dienstprinzipalname
nodeuser01	NODE_SPN	isp/node01/InfaDomain/COMPANY.COM
httpuser01	NODE_HTTP_SPN	HTTP/US001DEV.company.com@COMPANY.COM
nodeuser02	NODE_SPN	isp/node02/InfaDomain/COMPANY.COM
httpuser02	NODE_HTTP_SPN	HTTP/US005DEV.company.com@COMPANY.COM

Sie erstellen auch eine Keytab für das LDAP-Bind-Benutzerkonto, das während der LDAP-Synchronisierung für den Zugriff auf und das Durchsuchen von Active Directory verwendet wird.

1Erstellen Sie eine Keytab-Datei für das Kerberos-Prinzipalbenutzerkonto, das Sie für jeden Knoten in Active Directory erstellt haben.

Kopieren Sie den Keytab-Dateinamen aus der Spalte KEY_TAB_NAME in der Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Prinzipalbenutzerkonto mit dem Namen „nodeuser0“ erstellt:

ktpass.exe -out node01.keytab -princ isp/node01/InfaDomain/COMPANY.COM -mapuser nodeuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

2Erstellen Sie eine Keytab-Datei für jedes in Active Directory erstellte Kerberos-Prinzipalbenutzerkonto des HTTP-Prozesses.

Wenn in der Domäne bereichsübergreifende Kerberos-Authentifizierung verwendet wird, kann das Prinzipalbenutzerkonto in einem von der Domäne verwendeten Kerberos-Bereich vorhanden sein.

Kopieren Sie den Namen der Keytab-Datei aus der Spalte KEY_TAB_NAME in der Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Prinzipalbenutzerkonto mit dem Namen „httpuser01“ erstellt:

ktpass.exe -out webapp_http.keytab -princ HTTP/US001DEV.company.com@COMPANY.COM -mapuser httpuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

3Erstellen Sie eine Keytab-Datei für das LDAP-Bind-Benutzerkonto, das während der LDAP-Synchronisierung für den Zugriff auf und das Durchsuchen von Active Directory verwendet wird.

Strukturieren Sie den Wert für die Option „-princ“ als <principal name>@<KERBEROS REALM>. Schließen Sie den Namen der LDAP-Konfiguration für den Active Directory-Server in den Namen der Keytab-Datei ein. Verwenden Sie für den Namen der Keytab-Datei folgende Struktur: <Active Directory LDAP configuration_name>.keytab.

Im folgenden Beispiel wird eine Keytab-Datei für ein Dienstprinzipalbenutzerkonto mit dem Namen „ldapuser“ erstellt.

ktpass.exe -out ActiveDirectoryServer1.keytab -princ ldapuser@COMPANY.COM -mapuser ldapuser -crypto all -ptype KRB5_NT_PRINCIPAL

Generieren der Keytab-Dateien auf Prozessebene

Wenn Sie „ktpass“ zum Generieren der Keytab-Dateien auf Prozessebene ausführen, ordnen Sie jedem Kerberos-Prinzipalbenutzerkonto den entsprechenden SPN in Active Directory zu.

Die folgende Tabelle zeigt die Zuordnung zwischen den Kerberos-Prinzipalbenutzerkonten und den SPNs anhand der Beispieldatei „SPNKetabFormat.txt“:

Benutzerkonto	Keytab-Typ	Dienstprinzipalname
nodeuser01	NODE_SPN	isp/node01/InfaDomain/COMPANY.COM
admintooluser01	NODE_AC_SPN	_AdminConsole/node01/InfaDomain@COMPANY.COM
httpuser01	NODE_HTTP_SPN	HTTP/US001DEV.company.com@COMPANY.COM
MRSdevuser01	SERVICE_PROCESS_SPN	MRS_dev/node01/InfaDomain@COMPANY.COM
DISdevuser01	SERVICE_PROCESS_SPN	DIS_dev/node01/InfaDomain@COMPANY.COM
nodeuser02	NODE_SPN	isp/node02/InfaDomain/COMPANY.COM
admintooluser02	NODE_AC_SPN	_AdminConsole/node02/InfaDomain@COMPANY.COM
httpuser02	NODE_HTTP_SPN	HTTP/US005DEV.company.com@COMPANY.COM
CATdevuser01	SERVICE_PROCESS_SPN	CAT_dev/node02/InfaDomain@COMPANY.COM

Sie erstellen auch eine Keytab für das LDAP-Bind-Benutzerkonto, das während der LDAP-Synchronisierung für den Zugriff auf und das Durchsuchen von Active Directory verwendet wird.

1Erstellen Sie eine Keytab-Datei für das Kerberos-Prinzipalbenutzerkonto, das Sie für jeden Knoten in Active Directory erstellt haben.

Kopieren Sie den Dateinamen aus der Spalte KEY_TAB_NAME in die Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Prinzipalbenutzerkonto mit dem Namen „nodeuser01“ erstellt:

ktpass.exe -out node01.keytab -princ isp/node01/InfaDomain/COMPANY.COM -mapuser nodeuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

2Erstellen Sie eine Keytab-Datei für jedes erstellte Kerberos-Prinzipalbenutzerkonto des HTTP-Prozesses.

Wenn in der Domäne bereichsübergreifende Kerberos-Authentifizierung verwendet wird, kann das Prinzipalbenutzerkonto in einem von der Domäne verwendeten Kerberos-Bereich vorhanden sein.

Kopieren Sie den Dateinamen aus der Spalte KEY_TAB_NAME in die Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Prinzipalbenutzerkonto mit dem Namen „httpuser01“ erstellt:

ktpass.exe -out webapp_http.keytab -princ HTTP/US001DEV.company.com@COMPANY.COM -mapuser httpuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

3Erstellen Sie eine Keytab-Datei für jedes erstellte Kerberos-Prinzipalbenutzerkonto im Administrator Tool.

Kopieren Sie den Dateinamen aus der Spalte KEY_TAB_NAME in die Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Prinzipalbenutzerkonto mit dem Namen „admintooluser01“ erstellt:

ktpass.exe -out _AdminConsole.keytab -princ _AdminConsole/node01/InfaDomain@COMPANY.COM -mapuser admintooluser01 -crypto all -ptype KRB5_NT_PRINCIPAL

4Erstellen Sie eine Keytab-Datei für jedes erstellte Kerberos-Prinzipalbenutzerkonto im Informatica-Anwendungsdienst.

Kopieren Sie den Dateinamen aus der Spalte KEY_TAB_NAME in die Datei „SPNKeytabFormat.txt“. Kopieren Sie den Dienstprinzipalnamen aus der Spalte SPN in der Datei „SPNKeytabFormat.txt“.

Im folgenden Beispiel wird eine Keytab-Datei für ein Kerberos-Dienstprinzipalbenutzerkonto mit dem Namen „MRSdevuser01“ erstellt:

ktpass.exe -out MRS_dev.keytab -princ HTTP/US001DEV.company.com@COMPANY.COM -mapuser MRSdevuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

5Erstellen Sie eine Keytab-Datei für das LDAP-Bind-Benutzerkonto, das während der LDAP-Synchronisierung für den Zugriff auf und das Durchsuchen von Active Directory verwendet wird.

Strukturieren Sie den Wert für die Option „-princ“ als <principal name>@<KERBEROS REALM>. Nehmen Sie den Namen der LDAP-Konfiguration für den Active Directory-Server in den Namen der Keytab-Datei auf. Verwenden Sie für den Namen der Keytab-Datei folgende Struktur: <Active Directory LDAP configuration_name>.keytab.

Im folgenden Beispiel wird eine Keytab-Datei für ein Dienstprinzipalbenutzerkonto mit dem Namen „ldapuser“ erstellt.

ktpass.exe -out ActiveDirectoryServer1.keytab -princ ldapuser@COMPANY.COM -mapuser ldapuser -crypto all -ptype KRB5_NT_PRINCIPAL

Überprüfen der Dienstprinzipalnamen und Keytab-Dateien

Sie können Kerberos-Dienstprogramme verwenden, um zu überprüfen, ob die SPNs und die Keytab-Dateien gültig sind. Mit den Dienstprogrammen können Sie außerdem den Status des Kerberos-Schlüsselverteilungscenters (KDC) ermitteln.

Sie können Kerberos-Dienstprogramme wie kinit und klist verwenden, um die SPNs und die Keytab-Dateien anzuzeigen und zu überprüfen. Stellen Sie zum Verwenden der Dienstprogramme sicher, dass die Umgebungsvariable KRB5_CONFIG den Pfad und den Dateinamen der Kerberos-Konfigurationsdatei enthält. Weitere Informationen über die Ausführung der Kerberos-Dienstprogramme finden Sie in der Kerberos-Dokumentation.

Verwenden Sie die folgenden Dienstprogramme zum Überprüfen der SPNs und Keytab-Dateien:

kinit: Führen Sie zum Anfordern eines Ticket-Granting-Tickets für einen SPN den folgenden Befehl aus:; Das folgende Ausgabebeispiel zeigt das Ticket-Granting-Ticket, das im Standard-Cache für eine angegebene Keytab-Datei und einen SPN erstellt wurde:
klist: Sie können das Dienstprogramm klist zum Auflisten der Kerberos-Prinzipale und Schlüssel in einer Keytab-Datei verwenden. Führen Sie zum Auflisten der Schlüssel in der Keytab-Datei und des Zeitstempels für den Keytab-Eintrag den folgenden Befehl aus:; Das folgende Ausgabebeispiel zeigt die Prinzipale in einer Keytab-Datei: