Hallo allerseits,

unter V7R1 wollen wir SSO einführen. Das Problem dabei ist lediglich, dass wir mehrere Mandanten verwalten von denen einige über eigene Active Dirctories verfügen. Kann man SSO auch über mehrere AD's betreiben?

Hallo FNeurieser,

ja das ist möglich, man muß nur für jeden REALM einen (mehrere (krbsvr400,HOST,cifs,..)) Eintrag in der Keytab erstellen und diese dann auf den einzelnen AD auch anlegen.

'keytab add' ist da dein Freund.

Edit: Du mußt im iSeries Navigator unter 'Sicherheit - Netzwerkauthentifizierungsservice - Realms' den neuen Realm mit der IP/Hostnamen des dazugehörigen Windows AD anlegen. Diesen Realm mußt du dann bearbeiten und den Server auch als 'Passwort Server' eintragen.
Zum Schluss noch unter 'Netzwerk - Enterprise Identity Mapping - Domänenverwaltung - <eim domain> - Benutzerregister' einen neuen Register für das System hinzufügen.

Register : <realm>
Art: Kerberos oder Kerberos - Groß-/Kleinschreibung beachten
Adressaliasnamen
Aliasnamen: <realm>
Art: Kerberos-Realm

MFG Zerberus