SingleSignon

[dschroeder]

Zur Klarstellung: Wir verwenden bei uns grundsätzlich Kerberos. Z.B. um Sitzungen auf der iSeries ohne Anmeldung zu starten. Beim RDi ist kein Kerberos eingestellt. Dort haben wir die Kennwortspeicherung aktiv. Ich wollte nur diese Alternative aufzeigen. In der Tat wird bei jeder Kennwortänderung das Kennwort im RDi einmalig neu abgefragt.

Wenn es nicht zu aufwendig ist, teste ich gerne eine Kerberos Verbindung mit RDi. Du müsstest mir nur sagen, was ich das einstellen muss. Auf die Schnelle habe ich bei der Einrichtung einer neuen Verbindung nichts in der Richtung gefunden.

Dieter

[KM]

Hallo,

einfach unter
Benutzervorgaben -> Ferne Systeme -> IBM i -> Authentifizierung
von "Benutzer-ID" auf "Kerberos" umstellen.

Viele Grüße,
KM

[camouflage]

Wenn man Dr. Google in diese Richtung frägt, kommt man schnell auf ein Ergebnis. Ich verwende Kerberos mit RDi nicht, abgesehen davon, dass RDi und SSO erst seit Version 9.5.1 möglich ist.

Weitere Infos:
https://www.ibm.com/support/knowledg...ros_intro.html

[dschroeder]

Bei mir schlägt die Kerberos Verbindung im RDi immer fehl. Unsere Administration guckt sich das nochmal an. Im Moment kann ich deshalb keinen Test für dich durchführen.

[Gutmann]

Wie sieht den der Prozess aus, wenn ihr einen neuen AS400 User benötigt? Ich nehme mal an, dieser wird im ActiveDirectory angelegt. Und dann? Taucht der plötzlich in der AS400 auf u. ich kann ihn in die entsprechenden Gruppen zuweisen, oder lege ich solche Rollen u. Gruppenberechtigungen ausschließlich im AD an? Synchronisiert sich dann die AS400 mit dem AD (z.B. über LDAP)?

[KM]

Der Benutzer muss sowohl im AD als auch auf der AS/400 angelegt werden, da Kerberos ja nur ein Authentifizierungssystem und kein Berechtigungssystem ist. Da wird sonst nichts weiter abgeglichen. Im iNavigator muss im EIM für den Benutzer ein Eintrag erstellt werden, bei dem das Source-System und Target-System definiert wird. Und damit klappt dann das SingleSignon.

Gruß,
KM

[Gutmann]

Danke, das ist sehr Interessant! Wie hoch ist dafür der geschätzte Aufwand, von einem System mit niedrigster Kennwortstufe (glaube Stufe 1?) auf Kerberos u. SingleSignon umzustellen?

Ich vermute, dass SingleSignOn nicht direkt mit einer Kennwortpolicy zusammenhängen muss - wenn aber im AD eine Kennwortpolicy aktiv ist, dann muss die vermutlich auch auf der AS400 "kompatibel" sein?

[KM]

Der Aufwand ist hier schwierig zu schätzen. Wenn man weiß wie es funktioniert, ist es sicher recht schnell erledigt. Für mich war es damals komplettes Neuland. Deshalb hat es auch entsprechend gedauert, bis ich alles korrekt konfiguriert hatte. Es gibt aber auch entsprechende Handbücher, z.B.

https://www.google.de/url?sa=t&rct=j...6zVvRZicPsyRKA

Die Kennwortpolicy auf der AS/400 dürfte dann ziemlich egal sein, da man sich ja über die Windows-Domäne authentifiziert. Theoretisch könnte man im Benutzerprofil sogar das Kennwort auf *NONE setzen. Aber dann hast Du halt ein Problem, falls Du Dich doch mal im Greenscreen manuell anmelden willst. Also solltest Du doch schon die Policy vereinheitlichen.

Gruß,
KM

[Dominik_Meyer]

Hallo Gutmann,

eine Kennwortpolicy im AD hat nichts mit einer Kennwortpolicy auf der As400 zu tun, beide sind komplett unabhängig. Durch den Eintrag im EIM müssen auch die Userprofile nicht identisch sein, d. h. ein AD User 'Huber Fritz' kann auf ein OS400 Userprofil HUFRI gemappt werden!
Ich habe das damals anhand der Redbooks gemacht, da passten die Infos bzgl. AD genau zu unserem AD (Windows 2008 R2). Besonderheit: wenn ihr die AS400 clustert mit XSM und mind. V7R2 habt, kann man die QUSRDIRDB in den IASP legen und ist dann schon mal besser für einen switchover gerüstet..

MfG
Dominik Meyer