Hallo!

Ich stehe derzeit vor folgendem Problem:

Wir haben derzeit Client Access 6.1 auf Terminalservern installiert. Hier kann man in der 5250 Emulation (.ws) in den Kommunikationseinstellungen --> Verbindungseinstellungen angeben, dass die Windows Anmeldedaten für SSO verwendet werden sollen.
405

Nun habe ich auf einem Testserver Client Access Solutions ACS installiert (.hod). Leider finde ich diese Einstellungen hier nicht. Hat hier irgendjemand eine Lösung dafür? Funktioniert dies hier anders?

Vielen Dank im Voraus!

Hat hier irgendjemand eine Idee?

Laut Doku wird hier wohl nur manuelle Eingabe und Kerberos unterstützt.

Moin,

wenn's hilft dann erstelle eine Datei in das Verzeichnis

c:\users\<Benutzer>

mit dem Namen

_netrc (Unterstrich).

Diese Datei sollte folgendem haben:

machine <Deine Maschine> login <Dein Login> password <Dein Passwort>

Damit kannst Du die Anmeldung übergehen, aber Vorsicht, diese Datei ist frei einsehbar.

mfg

DKSPROFI

Hallo xcolumbux,


habe gerade im ACS nachgesehen.

In der Systemkonfiguration kannst du die Verbindungen konfigurieren und da kannst du im Reiter 'Verbindung' die Kennwortanforderung auf 'Kerberos-Authentifizierung verwenden, keine Anforderung' stellen.

MFG Zerberus

Was ich ja auch schon sagte. Kerberos ist aber nicht Windowsauthentifizierung wie beim alten CA.

Hallo Fuerchau,

stimmt.

Ich hab den ersten Post falsch verstanden.

Für mich ist SSO Kerberos.

MFG Zerberus

Hallo!

Auch ich bin auf der Suche nach einer SSO-Lösung, da es die Windows-Authentifizierung im ACS nicht mehr gibt.
Bei einem ACS-Kurs wurde Kerberos erwähnt, aber nicht näher darauf eingegangen (glaub der Vortragende hatte auch keine Ahnung davon).

Jetzt habe ich mittlerweile einiges gelesen und auch ausprobiert, aber leider komme ich zu keinem brauchbaren Ergebnis.
Vielleicht kann mir hier jemand helfen. Ich hoffe es zumindest.

Wir betreiben ein Windows-Netzwerk mit Domänen-Controller und Active Directory (für ca. 450 Benutzer) unter Windows Server 2012 R2.
Dazu haben wir 2 IBM-i5.

Ich habe alles im Web-Interface vom IBM-i-Navigator (<System i>:2005/ibm/console/logon.jsp) konfiguriert.

Hier einige Punkte, die Fragen aufwerfen:
- IBM-Tivoli-Server (Netzwerk/TCPIP-Server/IBM Tivoli Directory Server for IBM i (LDAP) muß anscheinend gestartet sein.
Spukt der eh nicht in das Windows-Domänen-Netz mit dem AD rein?
In den "Eigenschaften" gibt es rechts als vorletzten Punkt Kerberos. Gehört dieser aktiviert (Kerberos-Authentifizierung aktivieren)? Wenn Ja, was gehört hier genau eingetragen bzw. ausgewählt?

In den "Veröffentlichungen": Muß hier etwas ausgwählt bzw. eingetragen werden?

- EIM Konfiguration (Sicherheit/Alle Tasks/Enterprise Identity Mapping/Konfiguration)
Hier steht oben in der Kopfzeile "Konfigurationsassistent für Enterprise Identity Mapping - localhost"
Dieses localhost zieht sich dann durch bis "Konfiguration des Netzwerkauthentifizierungsservice - IBM i-Chiffrierschlüsseleintrag erstellen" und es entsteht ein "IBM i-Principals" in der Art krbsvr400/localhost@<REALM>"
Mir kommt das nicht richtig vor. Da wird dann ein Windows-Batch-Skript erstellt, in dem dieser Eintrag so verwendet wird. Und dieses Skript soll dann am Domänen-Controller eingespielt werden.

Da wäre dann schon der nächste Punkt:

- Domänen-Einstellung (cfgtcp/12)
Was gehört hier rein bzw. hat das überhaupt Einfluss auf die Kerberos/Tivoli Konfiguration?
Gehört in der Host-Tabelle (cftcp/10) auch was eingetragen?

- Im Netzwerkauthentifizierungsservice (Sicherheit/Alle Tasks/Netzwerkauthentifizierungsservice/) gibt es auch viele Fragen
Gehört bei "Übertragungsprotokoll für KDC" der Punkt "TCP verwenden" aktiviert?
Der KDC ist bei uns der Windows-Domänen-Controller mit dem Active Directory und natürlich übers Netz erreichbar.

Also Fragen über Fragen. Ein befreundeter i5-Profi hat mir geraten, die Finger von Kerberos zu lassen. Das sei nichts "Gescheites".
Aber in Hinblick auf eine vernünftige Integration in das Windows-Netzwerk mit Domänen-Controller und Active-Directory, scheint es mir schon sinnvoll zu sein.

Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.

Danke
Günter

Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.

Danke
Günter

Moin,

nur mal für mein Verständnis, was ist denn da für viele Nutzer nicht wartbar?

mfg

DKSPROFI

Guten Morgen DKSPROFI!

Die Wartbarkeit bezieht sich auf die Lösung mit _netrc im USER-Verzeichnis.
Auch ist die Datei mit dem Klartextpasswort einsehbar.

Schöne Grüße
Günter