Se você configurar o domínio Informatica para ser executado em uma rede com autenticação Kerberos, deverá criar os arquivos SPNs e keytab antes de criar serviços de aplicativo no domínio Informatica. O Kerberos exige os arquivos keytab para autenticar os serviços na rede.
Os arquivos keytab para os SPNs devem estar disponíveis no nó onde os serviços de aplicativo Informatica são executados. Você deve adicionar o SPN no banco de dados principal e criar o arquivo keytab antes de criar o serviço no domínio. O domínio Informatica exige os nomes de arquivos SPNs e keytab em um formato específico. Você pode usar infacmd para gerar um arquivo com a lista de nomes de arquivos SPNs e keytab no formato da Informatica. Os nomes de arquivos SPN e keytab fazem distinção entre maiúsculas e minúsculas.
Talvez seja necessário solicitar ao administrador Kerberos a adição dos SPNs ao banco de dados principal e a criação dos arquivos keytab.
Nota: O SPN deve ser o mesmo que o nome da entidade do usuário (UPN) para qualquer entidade que você
usa no domínio Informatica. Você também deve ativar a delegação para todas as entidades usadas no domínio Informatica. No Serviço do Microsoft Active Directory, defina a opção Confiar neste usuário para
delegação a qualquer serviço (apenas Kerberos).
A Informatica oferece um comando para gerar um arquivo que mostra o formato correto para os nomes necessários de arquivos SPNs e keytab no domínio Informatica. Para gerar uma lista de arquivos SPNs e keytab no formato correto, execute o seguinte comando:
infacmd printSPNAndKeytabNames
Você deve especificar um nome de host totalmente qualificado para qualquer nó no qual você gera o nome de arquivo SPN e keytab. Execute o comando em uma máquina que possa resolver o nome do host do sistema de nomes de domínio (DNS).
Você pode usar o comando infacmd printSPNAndKeytabNames para gerar nomes de arquivos SPNs e keytab em vários serviços. Para economizar tempo, decida os nomes dos serviços que você deseja criar e os nós onde serão executados. Em seguida, execute o comando para gerar nomes de arquivos SPNs e keytab para todos os serviços ao mesmo tempo.
Para gerar uma lista de arquivos SPNs e keytab corretamente formatados para o domínio Informatica, execute as seguintes etapas:
1. No prompt de comando, vá para o diretório da Informatica onde os programas de linha de comando são instalados.
Por padrão, os programas de linha de comando são instalados no seguinte diretório: <INFA_HOME>/isp/bin
A seguinte tabela descreve as opções e os argumentos necessários para o comando infacmd printSPNAndKeytabNames:
Opção Argumento Descrição
-DomainName -dn
domain_name O nome do domínio. O nome não deve ter mais de 128 caracteres e deve ser somente ASCII de 7 bits. O nome não pode conter um espaço nem qualquer um dos seguintes caracteres: ` % * + ; " ? , < > \ /
-ServiceRealmName -srn
realm
_name_of_node_spn
Nome do realm Kerberos ao qual o serviço do domínio Informatica pertence. O nome do realm do serviço faz distinção entre maiúsculas e
minúsculas e deve estar em letras maiúsculas.
-Format -fn
format_TEXT_CSV Formato do arquivo gerado pelo comando. O comando pode ter os seguintes formatos: - TEXT. Arquivo com os nomes de arquivos SPNs e
keytab em colunas separadas.
- CSV. Arquivo com os nomes de arquivos SPNs e keytab separados por vírgulas.
-OutputFile -of
output_file_name Caminho e nome do arquivo gerado pelo comando. -ServiceProcesses -sps ServiceName:Noden ame [ServiceName:Noden ame]
Nome do serviço que você deseja criar no domínio Informatica e nome do nó no qual o serviço será executado. Use o seguinte formato:
ServiceName:NodeName
Você pode gerar SPNs e nomes de arquivo de keytab para vários serviços. Separe cada nome de serviço e par de nomes do nó com um espaço.
O comando cria um arquivo que contém a lista de nomes de arquivos SPNs e keytab no formato exigido pela Informatica.
3. Envie o arquivo para o administrador Kerberos com uma solicitação para adicionar os SPNs no banco de dados principal e para criar um arquivo keytab para cada SPN.
A Informatica recomenda que você utilize o utilitário ktpass oferecido pela Microsoft para criar o arquivo keytab. O utilitário ktpass configura o usuário e os nomes da entidade de serviço no Active Directory e gera arquivos .keytab para os serviços.
O administrador Kerberos pode demorar um pouco para concluir essa tarefa. Você deve aguardar até receber os arquivos keytab do administrador Kerberos antes de criar serviços de aplicativo no domínio Informatica.
4. Depois que o administrador Kerberos criar os arquivos keytab, copie esses arquivos no diretório da Informatica.
Copie todos os arquivos keytab no diretório onde a chave de criptografia para o domínio é armazenada. Por padrão, a chave de criptografia é armazenada no seguinte diretório: <INFA_HOME>/isp/config/ secret
Nota: Você deve criar os arquivos keytab antes de ativar o serviço de aplicativo. O Kerberos não pode
autenticar o serviço de aplicativo se o serviço não tem um arquivo keytab no diretório da Informatica. Os serviços de aplicativos que têm aplicativos Web associados, como o Serviço do Metadata Manager ou o
Serviço do Web Services Hub, também exigem o arquivo keytab webapp_http.keytab. Você pode usar o arquivo keytab no processo HTTP associado à ferramenta Administrator.