[NEWSboard IBMi Forum]
  1. #1
    Registriert seit
    Jun 2016
    Beiträge
    3

    SingleSignOn unter V7R2 mit AES

    Guten Tag Gemeinde,

    ich habe vor auf einer Maschine mit V7R2 mal testweise eine SSO-Umgebung einzurichten. Der Netzwerkauthentifizierungsserver soll mit AES-Verschlüsselung (statt DES) laufen.
    Soweit konnte ich diesen auch einrichten, jedoch nur mit DES. Lt. meinen Recherchen müsste ab V7R2 AES inkludiert sein, ich kann diese aber bei den Eigenschaften des NAS nicht auswählen, hier sind nur Optionen für DES vorhanden.
    Auch habe ich für V7R2 keine PTFs gefunden die dies nachträglich installieren würden.

    Bin ein bisschen ratlos, hat hier jemand einen Tipp für mich?

    Vielen Dank
    l_shelby

  2. #2
    Registriert seit
    Dec 2005
    Beiträge
    276
    Hallo l_shelby,

    was bekommst du den für Principals angezeigt, wenn du in einer QSH Sitzung 'keytab list' eingibst?
    MFG Zerberus

  3. #3
    Registriert seit
    Dec 2000
    Beiträge
    279
    Hallo I_shelby,
    Ich hatte das Problem unter V7R1

    lies mal das
    1. On the IBM i from QSHELL, type the command keytab list and verify the following key types for the krbsvr400 account

    Key type: 128-bit AES
    Key type: 256-bit AES
    Key type: ARCFOUR
    If you do not have these key types you need to remove the current principal and add a new one to get the AES and ARCFOUR keys.

    2. Make sure the /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf file contains the following lines under the "default_realm" property.

    default_tgs_enctypes = aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96,arcfour-hmac
    default_tkt_enctypes = aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96,arcfour-hmac

    3. In QSHELLL type the command keytab delete krbsvr400/AS1.imHausl@DE.Domaine where the krbsvr400 principal was from the keytab list command ran earlier.

    Note: If you do not recall the password used when configuring Network Authentication earlier you will need to reset this on the Active Directory server in step 4

    4. In QSHELL run the command keytab add krbsvr400/AS1.imHausl@DE.Domaine -p password

    Where password is the Active Directory account password

    5. On the Windows server, go to the AD Server and then go to the Account tab for the krbsvr400 user.
    Uncheck the Use DES Encryption, and check the box This Account Supports Kerberos AES 128 and 256 Encryption. Reset the password if needed from what was used in step 3.

    6. Verify in QSHELL with kinit -k krbsvr400/AS1.imHausl@DE.Domaine followed by klist -e
    you should see the encryption types of AES or ARCFOUR

    Bei mir haben die Einträger in der krb5.conf gefehlt.
    Wenn du eine WinServer 2012 hast, dort muss beim User krbsvr..... explizit AES angegeben und DES rausgenommen werden.

    Klaus

  4. #4
    Registriert seit
    Jun 2016
    Beiträge
    3
    Hallo,

    vielen Dank für die Antworten, bei mir haben ebenfalls die Einträge in der krb5.conf gefehlt.

    Es ist nun so dass der Befehl kinit -k xxxx fehlerlos durchläuft mit der Meldung 'Das Ticket-Granting-Ticket wurde erfolgreich erstellt.'

    EIM-Benutzerzuordnung habe ich ebenfalls erstellt, leider kommt beim anmelden in eine CA-Sitzung immer noch die Meldung CWBSY1012 Kerberos-Service-Principal für .... nicht gefunden.'

    Ich werde nochmals mit unserem Adminstrator testen, habe aber ehrlich gesagt keinen Plan mehr warum das nicht funktioniert.

    Danke und schöne Grüße
    --l_shelby--

  5. #5
    Registriert seit
    Dec 2005
    Beiträge
    276
    Hallo l_shelby,

    da fallen mir 2 Dinge ein, die die Ursache sein könnten.

    1) Die Verbindung zu dem System muß mit dem FQDN gemacht werden (so wie in keytab list - krbsvr400/FQDN@Domain)

    2) Die IP Adresse, auf die der FQDN aufgelöst wird wird auf einen anderen Namen im 'reverse' Lookup aufgelöst:
    ping FQDN -> IP Adresse
    ping -a IP Adresse -> FQDN
    MFG Zerberus

  6. #6
    Registriert seit
    Dec 2000
    Beiträge
    279
    Hallo I_shelby,
    Denk daran auf dem WINDOOF-Server DES beim USER krb... zu dektivieren. Unser Server hat das sonst nicht geschnallt, ausserdem muss noch beim USER der Eintrag trust Kerberos... (so ähnlich) aktiviert werden. (unser Admin hat das bei allen Maschinen erst beim zweiten nachhaken hinbekommen ;-) )
    Das von der i5 erstellte Skript hat nie richtig funktioniert, da immer Nacharbeit notwendig. :-(

    Klaus
    Klaus

  7. #7
    Registriert seit
    Jun 2016
    Beiträge
    3
    Hallo,

    ich möchte mich - spät aber doch - dür die nützlichen Ratschläge bedanken ohne die die Einrichtung fehlgschlagen wäre.
    Letztendlich war der Grund dass die Kerberos anmeldung nicht funktionierte die Kombination WIN10-Client mit der Version IBM System i Access für Windows. Diese Version funktioniert nur auf Windows 7 Rechnern.
    Mit dem neuen IBM i Access funktionierts auch mit Windows 10.

    Schöne Grüße

Similar Threads

  1. Umstellung auf V7R2 SQL Engine
    By TheDevil in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 07-03-16, 14:11
  2. SQL Abfrage läuft unter V7R2 langsamer als unter V6R1
    By balu40 in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 04-02-16, 19:00
  3. Installation V7R2 auf einer Power 7 via USB
    By Weki in forum IBM i Hauptforum
    Antworten: 14
    Letzter Beitrag: 22-12-14, 10:41
  4. IBM i V7R2 Announcement
    By holgerscherer in forum IBM i Hauptforum
    Antworten: 4
    Letzter Beitrag: 01-05-14, 00:36
  5. Antworten: 1
    Letzter Beitrag: 07-04-14, 14:21

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •