Anmelden

View Full Version : Fragen zur EIM-konfig auf Produktivsystem


m00rhahn
28-11-07, 13:19
Hallo Board,
wir haben ne i520 mit V5R4 und ne Windows2003-Domäne.
Per EIM können wir das ganze koppeln.
Uns ist klar, was EIM kann und nicht kann und wir wissen (theoretisch) auch, wie wir das ganze einrichten.
Da wir aber leider nur eine i5 haben, müssen wir EIM auf dem Produktivsystem einrichten.
Bisher haben die User an Windows und an der i5 je extra angemeldet(mit unterschiedlichen Usernamen).
Jetzt die Fragen:
Stört die Einrichtung von EIM in irgendeiner Weise meinen bisherigen Betrieb?
Können sich die User dennoch per UserID+PWD anmelden?
Ist ein IPL nötig(in Doku bisher nichts gefunden)?

Schonmal danke für eure Hilfe

Gruß
M00rhahn
cbe
28-11-07, 19:19
Hallo m00rhahn,

ich nehme einfach mal an, Du möchtest ein SSO über Kerberos implementieren, wo die Autentifierung von der Windows AD kommt.

Bisher haben die User an Windows und an der i5 je extra angemeldet(mit unterschiedlichen Usernamen).
Je Windows-User kann man 1 User für Deine AS400 hinterlegen. Wenn jemand mehrere User auf der AS400 hat, und sich nicht jedesmal am Windows neu anmelden will, müssen die anderen Benutzerprofile sich "konventionell" anmelden.


Jetzt die Fragen:
Stört die Einrichtung von EIM in irgendeiner Weise meinen bisherigen Betrieb?

Nein.

Können sich die User dennoch per UserID+PWD anmelden?

Im Prinzip ja, aber: Wenn sie über Kerberos-SSO gehen, brauchen sie nur noch im Windows ihr Kennwort pflegen. Das AS400-Kennwort wird komplett ignoriert und vermutlich vergessen.
Will man sich konventionell anmelden, muss man aber das AS400-Kennwort selbst nehmen.

Man kann als Admin sogar soweit gehen und bei den USRPRF Passwort *NONE setzen, dann geht es nur noch über Kerberos.

Übrigens kann das nicht jede Anwendung, Mocha zum Bsp nicht.
Und bei der 2. Ebene mit SysReq-1 bekommt man eine neue Anmeldemaske, wo Kerberos auch nicht greift.


Ist ein IPL nötig(in Doku bisher nichts gefunden)?

wir benötigten noch ein ptf, und damit einen IPL, ansonsten ist das nicht nötig.
Nur der Directory-Server musste neu gestartet werden, hier weiß ich aber nicht, ob das bei Dir nötig ist und Auswirkungen hat.

Insgesamt kann man das ganze sehr schön parallel ausprobieren + einführen.

Gruß,
Christian