Hallo!

Auch ich bin auf der Suche nach einer SSO-Lösung, da es die Windows-Authentifizierung im ACS nicht mehr gibt.
Bei einem ACS-Kurs wurde Kerberos erwähnt, aber nicht näher darauf eingegangen (glaub der Vortragende hatte auch keine Ahnung davon).

Jetzt habe ich mittlerweile einiges gelesen und auch ausprobiert, aber leider komme ich zu keinem brauchbaren Ergebnis.
Vielleicht kann mir hier jemand helfen. Ich hoffe es zumindest.

Wir betreiben ein Windows-Netzwerk mit Domänen-Controller und Active Directory (für ca. 450 Benutzer) unter Windows Server 2012 R2.
Dazu haben wir 2 IBM-i5.

Ich habe alles im Web-Interface vom IBM-i-Navigator (<System i>:2005/ibm/console/logon.jsp) konfiguriert.

Hier einige Punkte, die Fragen aufwerfen:
- IBM-Tivoli-Server (Netzwerk/TCPIP-Server/IBM Tivoli Directory Server for IBM i (LDAP) muß anscheinend gestartet sein.
Spukt der eh nicht in das Windows-Domänen-Netz mit dem AD rein?
In den "Eigenschaften" gibt es rechts als vorletzten Punkt Kerberos. Gehört dieser aktiviert (Kerberos-Authentifizierung aktivieren)? Wenn Ja, was gehört hier genau eingetragen bzw. ausgewählt?

In den "Veröffentlichungen": Muß hier etwas ausgwählt bzw. eingetragen werden?

- EIM Konfiguration (Sicherheit/Alle Tasks/Enterprise Identity Mapping/Konfiguration)
Hier steht oben in der Kopfzeile "Konfigurationsassistent für Enterprise Identity Mapping - localhost"
Dieses localhost zieht sich dann durch bis "Konfiguration des Netzwerkauthentifizierungsservice - IBM i-Chiffrierschlüsseleintrag erstellen" und es entsteht ein "IBM i-Principals" in der Art krbsvr400/localhost@<REALM>"
Mir kommt das nicht richtig vor. Da wird dann ein Windows-Batch-Skript erstellt, in dem dieser Eintrag so verwendet wird. Und dieses Skript soll dann am Domänen-Controller eingespielt werden.

Da wäre dann schon der nächste Punkt:

- Domänen-Einstellung (cfgtcp/12)
Was gehört hier rein bzw. hat das überhaupt Einfluss auf die Kerberos/Tivoli Konfiguration?
Gehört in der Host-Tabelle (cftcp/10) auch was eingetragen?

- Im Netzwerkauthentifizierungsservice (Sicherheit/Alle Tasks/Netzwerkauthentifizierungsservice/) gibt es auch viele Fragen
Gehört bei "Übertragungsprotokoll für KDC" der Punkt "TCP verwenden" aktiviert?
Der KDC ist bei uns der Windows-Domänen-Controller mit dem Active Directory und natürlich übers Netz erreichbar.

Also Fragen über Fragen. Ein befreundeter i5-Profi hat mir geraten, die Finger von Kerberos zu lassen. Das sei nichts "Gescheites".
Aber in Hinblick auf eine vernünftige Integration in das Windows-Netzwerk mit Domänen-Controller und Active-Directory, scheint es mir schon sinnvoll zu sein.

Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.

Danke
Günter