FME Flow:2025.1

Mise à jour de la configuration du domaine Windows

Pour configurerFME Flow pour utiliser l'authentification unique, le domaine Windows doit reconnaîtreFME Flow en tant que service de domaine. Les étapes suivantes sont requises :

  1. ReprésenterFME Flow en tant que service de domaine en lui attribuant un nom principal de service (SPN).
  2. Enregistrez le SPN (ou les SPN) auprès ducompte de service.
  3. Assurez-vous que le compte de service nécessite une pré-authentification Kerberos.
  4. Assurez-vous que vos contrôleurs de domaine n’autorisent pas le cryptage RC4.

A) Attribuer un nom principal de service

Un SPN a la forme :<service>/<hôte>, où:

<service> est le type de service. Dans le contexte deFME Flow, c'esthttp.

<hôte> est le nom de la machine hébergeantFME Flowserveur d'applications Web. Pour plus de flexibilité, nous suggérons d'attribuer à la fois les versions non qualifiée et entièrement qualifiée du nom d'hôte.

NoteSiFME Flow est configuré pour l'accès via un alias DNS (CNAME), les SPN doivent également être enregistrés à l'aide de cet alias.

Pour obtenir les versions non qualifiées et entièrement qualifiées du nom d'hôte :

  1. De laFME Flow machine hôte, cliquez sur le menu Démarrer, faites un clic droit sur « Ordinateur » ou « Poste de travail » et sélectionnez « Propriétés ».
  2. Pour le nom d'hôte non qualifié, reportez-vous à « Nom de l'ordinateur ».
  3. Pour le nom d'hôte complet, reportez-vous à « Nom complet de l'ordinateur ».

Par exemple, si le nom d'hôte non qualifié est « MyETLServer » et que le nom d'hôte complet est « MyETLServer.domain.net », les SPN sont :

  • http/MyETLServer
  • http/MyETLServer.domain.net

B) Enregistrer un SPN sur un compte de service

  1. De laContrôleur de domaine, ouvrez une invite de commande (cmd.exe) via le menu Démarrer.
  2. Tapersetspn -S <spn> <compte> pour enregistrer le SPN sur le compte de service.
  3. Assurez-vous que la commande a réussi avec le message « Objet mis à jour ». Si le message « Impossible de localiser le compte... » s'affiche, le nom du compte est incorrectement spécifié.
  4. Répétez jusqu’à ce que tous les SPN soient ajoutés.

Par exemple, en utilisant les SPN de l'exemple précédent et en supposant que le compte de service est « fmeflowadmin », les commandes suivantes seraient saisies :

setspn -S http/MyETLServer fmeflowadmin

setspn -S http/MyETLServer.domain.net fmeflowadmin

C) Assurez-vous que le compte de service nécessite une pré-authentification Kerberos :

  1. De laContrôleur de domaine, ouvrez « Utilisateurs et ordinateurs Active Directory » via le menu Démarrer.
  2. Dans l’arborescence de la console, accédez au compte de service.
  3. Cliquez avec le bouton droit sur le compte de service et sélectionnez Propriétés.
  4. Sélectionnez l’onglet Compte.
  5. Sous Options du compte, faites défiler vers le bas et assurez-vous que « Ne pas exiger de pré-authentification Kerberos » n'est pas coché.
  6. Cliquez sur OK.

D) Assurez-vous que vos contrôleurs de domaine n'autorisent pas le cryptage RC4

Si la stratégie locale ou la stratégie de groupe du contrôleur de domaine autorise le chiffrement RC4 et que cette stratégie ne peut pas être modifiée, vous pouvez autoriser FME Flow à utiliser un chiffrement moins sécurisé :

  1. Sur la machine FME Flow, accédez à <FMEFlowDir>\Utilitaires\jre\conf\sécurité
  2. Créez un nouveau fichier appelékrb5.conf
  3. Modifiez le nouveau fichier avec le texte suivant et enregistrez :

    4. [libdefaults]

    allow_weak_crypto = vrai

  4. Redémarrage Flux FME.