FME Flow:2025,0

Aktualisieren der Windows-Domänenkonfiguration

So konfigurieren SieFME Flow Um die Single Sign-On-Authentifizierung zu verwenden, muss die Windows-Domäne erkennenFME Flow als Domänendienst. Folgende Schritte sind dafür erforderlich:

  1. DarstellenFME Flow als Domänendienst, indem Sie ihm einen Service Principal Name (SPN) zuweisen.
  2. Registrieren Sie den SPN (oder die SPNs) für dieDienstkonto.
  3. Stellen Sie sicher, dass das Dienstkonto eine Kerberos-Vorauthentifizierung erfordert.
  4. Stellen Sie sicher, dass Ihre Domänencontroller keine RC4-Verschlüsselung zulassen.

A) Zuweisen eines Service Principal Name

Ein SPN hat die Form:<Dienst>/<Host>, Wo:

<Dienst> ist der Diensttyp. Im Rahmen vonFME Flow, das isthttp.

<Host> ist der Name der Maschine, dieFME Flow's Web-Anwendungsserver. Um Flexibilität zu bieten, empfehlen wir, sowohl die unqualifizierte als auch die vollqualifizierte Version des Hostnamens zuzuweisen.

NotizWennFME Flow für den Zugriff über einen DNS-Alias (CNAME) konfiguriert ist, müssen auch SPNs unter diesem Alias registriert werden.

So erhalten Sie die unqualifizierte und die vollqualifizierte Version des Hostnamens:

  1. Von derFME Flow Klicken Sie auf dem Hostcomputer auf das Startmenü, klicken Sie mit der rechten Maustaste auf „Computer“ oder „Arbeitsplatz“ und wählen Sie „Eigenschaften“.
  2. Den unqualifizierten Hostnamen finden Sie unter „Computername“.
  3. Den vollqualifizierten Hostnamen finden Sie unter „Vollständiger Computername“.

Wenn beispielsweise der unqualifizierte Hostname „MyETLServer“ und der vollqualifizierte Hostname „MyETLServer.domain.net“ ist, lauten die SPNs:

  • http/MyETLServer
  • http/MyETLServer.domain.net

B) Registrieren eines SPN für ein Dienstkonto

  1. Von derDomänencontroller, öffnen Sie über das Startmenü eine Eingabeaufforderung (cmd.exe).
  2. Typsetspn -S <spn> <Konto> um den SPN beim Dienstkonto zu registrieren.
  3. Stellen Sie sicher, dass der Befehl mit der Meldung „Objekt aktualisiert“ erfolgreich war. Wenn die Meldung „Konto konnte nicht gefunden werden …“ erscheint, ist der Kontoname falsch angegeben.
  4. Wiederholen Sie den Vorgang, bis alle SPNs hinzugefügt sind.

Wenn Sie beispielsweise die SPNs im vorherigen Beispiel verwenden und davon ausgehen, dass das Dienstkonto „fmeflowadmin“ ist, würden die folgenden Befehle eingegeben:

setspn -S http/MyETLServer fmeflowadmin

setspn -S http/MyETLServer.domain.net fmeflowadmin

C) Stellen Sie sicher, dass das Dienstkonto eine Kerberos-Vorauthentifizierung erfordert:

  1. Von derDomänencontroller, öffnen Sie „Active Directory-Benutzer und -Computer“ über das Startmenü.
  2. Navigieren Sie in der Konsolenstruktur zum Dienstkonto.
  3. Klicken Sie mit der rechten Maustaste auf das Dienstkonto und wählen Sie Eigenschaften.
  4. Wählen Sie die Registerkarte „Konto“ aus.
  5. Scrollen Sie unter „Kontooptionen“ nach unten und stellen Sie sicher, dass „Keine Kerberos-Vorauthentifizierung erforderlich“ deaktiviert ist.
  6. Klicken Sie auf „OK“.

D) Stellen Sie sicher, dass Ihre Domänencontroller keine RC4-Verschlüsselung zulassen

Wenn die lokale Richtlinie oder Gruppenrichtlinie des Domänencontrollers RC4-Verschlüsselung zulässt und diese Richtlinie nicht geändert werden kann, können Sie FME Flow die Verwendung einer weniger sicheren Verschlüsselung erlauben:

  1. Navigieren Sie auf der FME Flow-Maschine zu <FMEFlowDir>\Dienstprogramme\jre\conf\security
  2. Erstellen Sie eine neue Datei mit dem Namenkrb5.conf
  3. Bearbeiten Sie die neue Datei mit dem folgenden Text und speichern Sie:

    4. [libdefaults]

    allow_weak_crypto = wahr

  4. Neustart FME-Flow.