SingleSignOn und Passwortänderung

[cid0m]

Servus IBMler,

mich würde interessieren ob Ihr auch die folgende Problematik kennt. Falls dem so ist würde es mich dann zusätzlich noch interessieren ob Ihr das lösen konntet.

Jeder kennt glaube ich die Möglichkeit des SingleSignOn(SSO), also ein einmaliges Login für die genutzten Programme ect.
Wir nutzen in der Firma z.B. SSO für die Windows und AS400 Anmeldung. Nun haben wir aber die Problematik das nach Ablauf des Kennwortes(180Tage gültigkeit) die Sachbearbeiter sich regelmäßig selber sperren, für Windows oder auch die AS400, weil Sie nur bei einem System das PW ändern, oder das zweite Kennwort falsch eintippen usw.
Wir haben zwar einen Guide wie man das richtig macht und auch wie die Rechtlinien sind, trotzdem schaffen es ~70% nicht das PW richtig zu ändern.

Mich würde interessieren ob es eine Möglichkeit gibt das Passwort quasi nur einmal zu ändern, z.B. über ein AS400 Programm und das ändert dann automatisch da PW für AS400 und auch Windows.

Ich weis das man unter Windows per CMD das PW ändern kann, aber unter i5/OS konnte ich dazu nichts finden, der chgpwd Befehl lässt sich anscheinend nicht parametrisiert aufrufen.

Hat da einer von euch vllt. eine zündete Idee?

[dschroeder]

Bei uns nutzen wir Kerberos. Die User haben gar kein "richtiges" iSeries Passwort mehr. Jedenfalls keines, das sie kennen. Ist irgendeine hyroglyphische Zeichenkombination. Die User müssen bei uns nur ihr Windows Kennwort ändern. Auf die iSeries gelangen sie dann automatisch.

Vielleicht hilft dir das Stichwort Kerberos ja weiter. Sonst müsste ich bei uns in der Systemadministration mal fragen, wie das genau geht.

Dieter

[cid0m]

Wäre super wenn du da mal fragen könntest! Mir selber sagt das nämlich gar nichts.
Ich werde dazu mal die DuckDuckGo Ente bemühen, aber wenn ihr das so umsetzt wäre das auf jedenfall auch sehr schön wenn du ein bisschen dazu erzählen könntest.

Wäre echt super : )
Liebe Grüße

[dschroeder]

Ich habe nochmal nachgefragt: Also, wir nutzen Kerberos. Kerberos ist ein Authentifizierungsdienst auf Windows Basis. Wenn man das einrichtet, kann man damit einen SingleSignon auf allen (na, ja zumindest vielen verschiedenen) Geräten implementieren. Auf der iSeries muss man dafür die Netzwerkauthentifizierung konfigurieren. Dann muss man wohl noch etwas im Active Directory machen.

Mein Kollege sagte, das ganze sei nicht in 3 Sätzen zu beschreiben. Es gibt aber ein sehr gutes Redbook, mit dem man die Konfiguration step by step durchführen kann.

Hier ist der Link: http://www.redbooks.ibm.com/abstracts/sg246975.html

Wahrscheinlich musst du dir das mal durchlesen. Wenn du danach konkrete Fragen hast, kann ich meinen Kollegen gerne nochmal fragen.

Dieter

[cbe]

Vor allem bei GrossKleinschrift in Windows-Kennwörtern gab es bei Zugriff auf AS400-Laufwerke immer Probleme, selbst wenn die Kennwörter gleich eingegeben wurden.
Ich kann kerberos als echtes SSO nur empfehlen.
Die AS400 vertraut dann komplett der Windows-Anmeldung, und fragt nicht mal mehr nach dem Kennwort. D.h. dass dann auch kein Kennwort mehr übers Netzwerk geschickt wird, was abgefangen werden könnte.

Allerdings ist es etwas tricky einzurichten bzw. das KnowHow zu bekommen. Ich würde empfehlen, es in einem Workshop im Haus von IBM oder einem Dienstleister einrichten zu lassen.

Gruß, Christian