Login von Windowsrechner auf AS400 mittels Kerberos und Java

[Haunted]

Mh also wenn ich bei der AS400 Instance keine setGSS... Methoden aufrufe und keine zusätzlichen Logininformationen hinterlege kommt ein Prompt der USER/PW abfragt. Wenn ich vorher as400.setGSSName(...); aufrufe dann kommt der Fehler "
Kerberos service ticket could not be retrieved.
".

Mein Qt ist allerdings nicht mehr als:

AS400 login = new AS400("as400");

login.setGSSName("user");

login.connectService(AS400.DATAQUEUE);

[Fuerchau]

Dann steht Kerberos nicht zur Verfügung und du musst den normalen User mit Kennwort nutzen.

[Haunted]

allerdings funktioniert Kerberos (Connect auch auf die AS400 per HTTP) in den Browsern, also die Kerberos Umgebung sollte richtig eingerichtet sein.

[OMi]

Musste soeben derselbes Problem lösen:

Also:

es müssen Java Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files für die verwendete Java-Version (hier Java 7) installiert werden (bei Java-Update nicht vergessen).

ganz wichtig ist, die Realms-Namen bzw. Domaine in Upper-Case einzugeben und System-Propertyjavax.security.auth.useSubjectCredsOnly auf false setzen.

System.setProperty("java.security.krb5.realm", "INTRA.MYDOMAIN.COM");
System.setProperty("java.security.krb5.kdc", "windows_ad.INTRA.MYDOMAIN.COM");

System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");


Kerberos Config kann auch in c:/Windows/krb5.ini eingegeben werden (Äquivalent auf iSeries ist:/QIBM/UserData/OS400/NetworkAuthentication/krb5.conf):

[libdefaults]
default_keytab_name = /QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab
default_realm = INTRA.MYDOMAIN.COM
[realms]
INTRA.MYDOMAIN.COM = {
kdc = windows_ad.INTRA.MYDOMAIN.COM:88
kpasswd_server = windows_ad.INTRA.MYDOMAIN.COM:464
}
[domain_realm]
[capaths]

Im weiterem ist unter Windows die Eingabe in Registry zwindend:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Lsa\Kerberos\Parameters
REG_DWORD name: allowtgtsessionkey
Value: 1


dann muss in Programm "nichts" gemacht werden (user sollte erst gar nicht eingegeben werden):
as400 = new AS400("iseries.intra.mydomain.com");
as400.connectService(AS400.COMMAND);


Falls es sich bei dem Windows-Benutzer, um Local-Admin with "UAC enabled" handelt, so muss das Programm (u.a. Eclipse) mit "Run as administrator" gestartet werden (sonst wird Ticket trotz Registry Eingaben nicht erstellt/gacacht).