Hallo,

ich hab vor kurzem auf unseren beiden Maschinen SSO eingerichtet und hätte da noch ein paar Verständnisfragen.

Das KDC läuft auf unserem Windows AD-Server. Das heißt ein Benutzer meldet sich an der Windows-Domäne an und bekommt vom Kerberos-Server ein Ticket. Wenn die 5250-Sitzungen auf Kerberos-Authentifizierung eingestellt sind, kommt man ohne weitere Anmeldung ins AS/400-Menü. Beim Netserver und beim Navigator funktioniert das auch ohne Probleme. So weit so gut.

Beim RDi hat man ja seit Version 9.5.1 auch diese Möglichkeit. Ich hab das mal getestet und hier ist es so, dass ich trotzdem jeden Tag mein Kerberos-Kennwort eingeben muss. Bei einem weiteren Neustart ist das dann nicht mehr erforderlich. Ich vermute mal das liegt daran, dass das Ticket abgelaufen ist. Ist das korrekt? Aber warum funktioniert die 5250-Anmeldung ohne Kennwort, jedoch die RDi-Anmeldung nicht?

Verwendet jemand von Euch Kerberos beim RDi, und wenn ja habt Ihr dann mal einen Debug ausgeführt? Bei mir erscheint dann ein "Fehler beim Port 3825". Nach Umstellung auf Benutzer-ID Authentifizierung funktioniert der Debug wieder normal.

Wenn ich von unserer Test-Maschine per DDM auf die Produktiv-Maschine zugreifen will, erhalte ich auch erst mal einen Authentifizierungsfehler. Hab dann herausgefunden, dass ich zunächst einen KINIT ausführen muss und mein Kennwort eingeben muss, um ein Kerberos-Ticket zu erhalten. Das muss ich auch jeden Tag neu machen, weil das Ticket nach 10 Stunden abgelaufen ist. Dann kann man doch nicht unbedingt von SingleSignon sprechen, wenn man sich doch wieder überall separat anmelden muss. Oder verstehe ich hier grundsätzlich etwas falsch?

Viele Grüße,
KM

Wir verwenden grundsätzlich Kerberos und RDi. Ich bin mir aber nicht mehr sicher, ob RDi bei uns tatsächlich Kerberos benutzt. Ich meine, dass man bei der Definition der Verbindung (Ferne Systeme) sagen kann, dass RDi das Kennwort speichern soll.

Jedenfalls kann man eine Standard-Benutzer-ID angeben. Ich meine, man wird nur einmalig nach dem Kennwort gefragt und dann nochmal gefragt, ob RDi sich das Kennwort merken soll.

Jedenfalls kann ich jeden Morgen problemlos RDi benutzen, ohne mich neu anzumelden.

Dieter

Man kann nur bei "Benutzer-ID"-Authentifizierung angeben, dass das Kennwort gespeichert werden soll. Bei einer Kerberos-Kennwortänderung muss man dann aber auch hier wieder das Kennwort ändern.

Dann hast Du in Deinem RDi offenbar keine Kerberos-Authentifizierung eingestellt. Wäre es möglich, dass Du das bitte mal testen könntest (vor allem auch die Sache mit dem Debug)? Würde mich schon interessieren, ob ich da richtig liege.

Kann jemand zu meinem anderen Problem noch was sagen? Hat sonst keiner Erfahrung mit SingleSignon auf der AS/400?

Viele Grüße,
KM

Zur Klarstellung: Wir verwenden bei uns grundsätzlich Kerberos. Z.B. um Sitzungen auf der iSeries ohne Anmeldung zu starten. Beim RDi ist kein Kerberos eingestellt. Dort haben wir die Kennwortspeicherung aktiv. Ich wollte nur diese Alternative aufzeigen. In der Tat wird bei jeder Kennwortänderung das Kennwort im RDi einmalig neu abgefragt.

Wenn es nicht zu aufwendig ist, teste ich gerne eine Kerberos Verbindung mit RDi. Du müsstest mir nur sagen, was ich das einstellen muss. Auf die Schnelle habe ich bei der Einrichtung einer neuen Verbindung nichts in der Richtung gefunden.

Dieter

Hallo,

einfach unter
Benutzervorgaben -> Ferne Systeme -> IBM i -> Authentifizierung
von "Benutzer-ID" auf "Kerberos" umstellen.

Viele Grüße,
KM

Wenn man Dr. Google in diese Richtung frägt, kommt man schnell auf ein Ergebnis. Ich verwende Kerberos mit RDi nicht, abgesehen davon, dass RDi und SSO erst seit Version 9.5.1 möglich ist.

Weitere Infos:
https://www.ibm.com/support/knowledgecenter/SSAE4W_9.5.1/com.ibm.etools.iseries.rse.doc/topics/kerberos_intro.html

Bei mir schlägt die Kerberos Verbindung im RDi immer fehl. Unsere Administration guckt sich das nochmal an. Im Moment kann ich deshalb keinen Test für dich durchführen.

Wie sieht den der Prozess aus, wenn ihr einen neuen AS400 User benötigt? Ich nehme mal an, dieser wird im ActiveDirectory angelegt. Und dann? Taucht der plötzlich in der AS400 auf u. ich kann ihn in die entsprechenden Gruppen zuweisen, oder lege ich solche Rollen u. Gruppenberechtigungen ausschließlich im AD an? Synchronisiert sich dann die AS400 mit dem AD (z.B. über LDAP)?

Der Benutzer muss sowohl im AD als auch auf der AS/400 angelegt werden, da Kerberos ja nur ein Authentifizierungssystem und kein Berechtigungssystem ist. Da wird sonst nichts weiter abgeglichen. Im iNavigator muss im EIM für den Benutzer ein Eintrag erstellt werden, bei dem das Source-System und Target-System definiert wird. Und damit klappt dann das SingleSignon.

Gruß,
KM

Danke, das ist sehr Interessant! Wie hoch ist dafür der geschätzte Aufwand, von einem System mit niedrigster Kennwortstufe (glaube Stufe 1?) auf Kerberos u. SingleSignon umzustellen?

Ich vermute, dass SingleSignOn nicht direkt mit einer Kennwortpolicy zusammenhängen muss - wenn aber im AD eine Kennwortpolicy aktiv ist, dann muss die vermutlich auch auf der AS400 "kompatibel" sein?