[NEWSboard IBMi Forum]
Seite 1 von 2 1 2 Letzte
  1. #1
    Registriert seit
    Aug 2017
    Beiträge
    3

    Client Access Solution ACS - Windows SSO

    Hallo!

    Ich stehe derzeit vor folgendem Problem:

    Wir haben derzeit Client Access 6.1 auf Terminalservern installiert. Hier kann man in der 5250 Emulation (.ws) in den Kommunikationseinstellungen --> Verbindungseinstellungen angeben, dass die Windows Anmeldedaten für SSO verwendet werden sollen.
    Name:  Unbenannt.PNG
Views: 767
Size:  3,0 KB

    Nun habe ich auf einem Testserver Client Access Solutions ACS installiert (.hod). Leider finde ich diese Einstellungen hier nicht. Hat hier irgendjemand eine Lösung dafür? Funktioniert dies hier anders?

    Vielen Dank im Voraus!

  2. #2
    Registriert seit
    Aug 2017
    Beiträge
    3
    Hat hier irgendjemand eine Idee?

  3. #3
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Laut Doku wird hier wohl nur manuelle Eingabe und Kerberos unterstützt.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  4. #4
    Registriert seit
    Nov 2004
    Beiträge
    325
    Moin,

    wenn's hilft dann erstelle eine Datei in das Verzeichnis

    c:\users\<Benutzer>

    mit dem Namen

    _netrc (Unterstrich).

    Diese Datei sollte folgendem haben:

    machine <Deine Maschine> login <Dein Login> password <Dein Passwort>

    Damit kannst Du die Anmeldung übergehen, aber Vorsicht, diese Datei ist frei einsehbar.

    mfg

    DKSPROFI

  5. #5
    Registriert seit
    Dec 2005
    Beiträge
    276
    Hallo xcolumbux,


    habe gerade im ACS nachgesehen.

    In der Systemkonfiguration kannst du die Verbindungen konfigurieren und da kannst du im Reiter 'Verbindung' die Kennwortanforderung auf 'Kerberos-Authentifizierung verwenden, keine Anforderung' stellen.

    MFG Zerberus
    MFG Zerberus

  6. #6
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Was ich ja auch schon sagte. Kerberos ist aber nicht Windowsauthentifizierung wie beim alten CA.
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  7. #7
    Registriert seit
    Dec 2005
    Beiträge
    276
    Hallo Fuerchau,

    stimmt.

    Ich hab den ersten Post falsch verstanden.

    Für mich ist SSO Kerberos.

    MFG Zerberus
    MFG Zerberus

  8. #8
    Registriert seit
    Jan 2008
    Beiträge
    90
    Hallo!

    Auch ich bin auf der Suche nach einer SSO-Lösung, da es die Windows-Authentifizierung im ACS nicht mehr gibt.
    Bei einem ACS-Kurs wurde Kerberos erwähnt, aber nicht näher darauf eingegangen (glaub der Vortragende hatte auch keine Ahnung davon).

    Jetzt habe ich mittlerweile einiges gelesen und auch ausprobiert, aber leider komme ich zu keinem brauchbaren Ergebnis.
    Vielleicht kann mir hier jemand helfen. Ich hoffe es zumindest.

    Wir betreiben ein Windows-Netzwerk mit Domänen-Controller und Active Directory (für ca. 450 Benutzer) unter Windows Server 2012 R2.
    Dazu haben wir 2 IBM-i5.

    Ich habe alles im Web-Interface vom IBM-i-Navigator (<System i>:2005/ibm/console/logon.jsp) konfiguriert.

    Hier einige Punkte, die Fragen aufwerfen:
    - IBM-Tivoli-Server (Netzwerk/TCPIP-Server/IBM Tivoli Directory Server for IBM i (LDAP) muß anscheinend gestartet sein.
    Spukt der eh nicht in das Windows-Domänen-Netz mit dem AD rein?
    In den "Eigenschaften" gibt es rechts als vorletzten Punkt Kerberos. Gehört dieser aktiviert (Kerberos-Authentifizierung aktivieren)? Wenn Ja, was gehört hier genau eingetragen bzw. ausgewählt?

    In den "Veröffentlichungen": Muß hier etwas ausgwählt bzw. eingetragen werden?

    - EIM Konfiguration (Sicherheit/Alle Tasks/Enterprise Identity Mapping/Konfiguration)
    Hier steht oben in der Kopfzeile "Konfigurationsassistent für Enterprise Identity Mapping - localhost"
    Dieses localhost zieht sich dann durch bis "Konfiguration des Netzwerkauthentifizierungsservice - IBM i-Chiffrierschlüsseleintrag erstellen" und es entsteht ein "IBM i-Principals" in der Art krbsvr400/localhost@<REALM>"
    Mir kommt das nicht richtig vor. Da wird dann ein Windows-Batch-Skript erstellt, in dem dieser Eintrag so verwendet wird. Und dieses Skript soll dann am Domänen-Controller eingespielt werden.

    Da wäre dann schon der nächste Punkt:

    - Domänen-Einstellung (cfgtcp/12)
    Was gehört hier rein bzw. hat das überhaupt Einfluss auf die Kerberos/Tivoli Konfiguration?
    Gehört in der Host-Tabelle (cftcp/10) auch was eingetragen?

    - Im Netzwerkauthentifizierungsservice (Sicherheit/Alle Tasks/Netzwerkauthentifizierungsservice/) gibt es auch viele Fragen
    Gehört bei "Übertragungsprotokoll für KDC" der Punkt "TCP verwenden" aktiviert?
    Der KDC ist bei uns der Windows-Domänen-Controller mit dem Active Directory und natürlich übers Netz erreichbar.

    Also Fragen über Fragen. Ein befreundeter i5-Profi hat mir geraten, die Finger von Kerberos zu lassen. Das sei nichts "Gescheites".
    Aber in Hinblick auf eine vernünftige Integration in das Windows-Netzwerk mit Domänen-Controller und Active-Directory, scheint es mir schon sinnvoll zu sein.

    Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.

    Danke
    Günter

  9. #9
    Registriert seit
    Nov 2004
    Beiträge
    325
    Zitat Zitat von gue_br Beitrag anzeigen

    Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.

    Danke
    Günter
    Moin,

    nur mal für mein Verständnis, was ist denn da für viele Nutzer nicht wartbar?

    mfg

    DKSPROFI

  10. #10
    Registriert seit
    Jan 2008
    Beiträge
    90
    Guten Morgen DKSPROFI!

    Die Wartbarkeit bezieht sich auf die Lösung mit _netrc im USER-Verzeichnis.
    Auch ist die Datei mit dem Klartextpasswort einsehbar.

    Schöne Grüße
    Günter

  11. #11
    Registriert seit
    Nov 2004
    Beiträge
    325
    Moin gue_br,

    da gebe ich Dir recht, wenn die Anwender ihr Passwort regelmäßig ändern müssen. Bei unseren 30 Anwendern, habe ich das nicht, da die Passwörter - leider gewollt von oben - nicht geändert werden. Außerdem haben wir keinen Windows Server.
    Das mit dem Klartextpasswort isrt natürlich ein Problem, dient aber leider der Bewuemlichkeit der Anwender.
    Was habe ich ir da schon alles anhören müssen.......

    mfg

    DKSPROFI

  12. #12
    Registriert seit
    Jan 2008
    Beiträge
    90
    Hallo!

    Ich hab bei einem "speziellen" User das Problem so gelöst, dass ich ein UsrPrf pcuser mit signoff (INLMNU u. bei INLPGM *None) und eingeschränkten Möglichkeiten (LMTCPB) erstellt habe und dieses in der _netrc eingetragen.
    Am grünen Schirm meldet man sich dann "richtig" an.

    Günter

Similar Threads

  1. IBM i Access Client Solution - Testphase abgelaufen
    By ExAzubi in forum IBM i Hauptforum
    Antworten: 4
    Letzter Beitrag: 30-04-15, 15:56
  2. Löschen von Client Access auf dem PC (Windows 7)
    By jfh66 in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 19-02-15, 10:38
  3. Client Access Express u. Windows 2000
    By linpac in forum NEWSboard Windows
    Antworten: 4
    Letzter Beitrag: 25-02-02, 12:18
  4. Client Access und Windows 2000
    By sukky in forum NEWSboard Windows
    Antworten: 2
    Letzter Beitrag: 11-01-02, 08:13
  5. Geht Client Access mit Windows 2000?
    By hs in forum IBM i Hauptforum
    Antworten: 6
    Letzter Beitrag: 02-07-01, 15:57

Tags for this Thread

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •