-
Client Access Solution ACS - Windows SSO
Hallo!
Ich stehe derzeit vor folgendem Problem:
Wir haben derzeit Client Access 6.1 auf Terminalservern installiert. Hier kann man in der 5250 Emulation (.ws) in den Kommunikationseinstellungen --> Verbindungseinstellungen angeben, dass die Windows Anmeldedaten für SSO verwendet werden sollen.
Nun habe ich auf einem Testserver Client Access Solutions ACS installiert (.hod). Leider finde ich diese Einstellungen hier nicht. Hat hier irgendjemand eine Lösung dafür? Funktioniert dies hier anders?
Vielen Dank im Voraus!
-
Hat hier irgendjemand eine Idee?
-
Laut Doku wird hier wohl nur manuelle Eingabe und Kerberos unterstützt.
-
Moin,
wenn's hilft dann erstelle eine Datei in das Verzeichnis
c:\users\<Benutzer>
mit dem Namen
_netrc (Unterstrich).
Diese Datei sollte folgendem haben:
machine <Deine Maschine> login <Dein Login> password <Dein Passwort>
Damit kannst Du die Anmeldung übergehen, aber Vorsicht, diese Datei ist frei einsehbar.
mfg
DKSPROFI
-
Hallo xcolumbux,
habe gerade im ACS nachgesehen.
In der Systemkonfiguration kannst du die Verbindungen konfigurieren und da kannst du im Reiter 'Verbindung' die Kennwortanforderung auf 'Kerberos-Authentifizierung verwenden, keine Anforderung' stellen.
MFG Zerberus
MFG Zerberus
-
Was ich ja auch schon sagte. Kerberos ist aber nicht Windowsauthentifizierung wie beim alten CA.
-
Hallo Fuerchau,
stimmt.
Ich hab den ersten Post falsch verstanden.
Für mich ist SSO Kerberos.
MFG Zerberus
MFG Zerberus
-
Hallo!
Auch ich bin auf der Suche nach einer SSO-Lösung, da es die Windows-Authentifizierung im ACS nicht mehr gibt.
Bei einem ACS-Kurs wurde Kerberos erwähnt, aber nicht näher darauf eingegangen (glaub der Vortragende hatte auch keine Ahnung davon).
Jetzt habe ich mittlerweile einiges gelesen und auch ausprobiert, aber leider komme ich zu keinem brauchbaren Ergebnis.
Vielleicht kann mir hier jemand helfen. Ich hoffe es zumindest.
Wir betreiben ein Windows-Netzwerk mit Domänen-Controller und Active Directory (für ca. 450 Benutzer) unter Windows Server 2012 R2.
Dazu haben wir 2 IBM-i5.
Ich habe alles im Web-Interface vom IBM-i-Navigator (<System i>:2005/ibm/console/logon.jsp) konfiguriert.
Hier einige Punkte, die Fragen aufwerfen:
- IBM-Tivoli-Server (Netzwerk/TCPIP-Server/IBM Tivoli Directory Server for IBM i (LDAP) muß anscheinend gestartet sein.
Spukt der eh nicht in das Windows-Domänen-Netz mit dem AD rein?
In den "Eigenschaften" gibt es rechts als vorletzten Punkt Kerberos. Gehört dieser aktiviert (Kerberos-Authentifizierung aktivieren)? Wenn Ja, was gehört hier genau eingetragen bzw. ausgewählt?
In den "Veröffentlichungen": Muß hier etwas ausgwählt bzw. eingetragen werden?
- EIM Konfiguration (Sicherheit/Alle Tasks/Enterprise Identity Mapping/Konfiguration)
Hier steht oben in der Kopfzeile "Konfigurationsassistent für Enterprise Identity Mapping - localhost"
Dieses localhost zieht sich dann durch bis "Konfiguration des Netzwerkauthentifizierungsservice - IBM i-Chiffrierschlüsseleintrag erstellen" und es entsteht ein "IBM i-Principals" in der Art krbsvr400/localhost@<REALM>"
Mir kommt das nicht richtig vor. Da wird dann ein Windows-Batch-Skript erstellt, in dem dieser Eintrag so verwendet wird. Und dieses Skript soll dann am Domänen-Controller eingespielt werden.
Da wäre dann schon der nächste Punkt:
- Domänen-Einstellung (cfgtcp/12)
Was gehört hier rein bzw. hat das überhaupt Einfluss auf die Kerberos/Tivoli Konfiguration?
Gehört in der Host-Tabelle (cftcp/10) auch was eingetragen?
- Im Netzwerkauthentifizierungsservice (Sicherheit/Alle Tasks/Netzwerkauthentifizierungsservice/) gibt es auch viele Fragen
Gehört bei "Übertragungsprotokoll für KDC" der Punkt "TCP verwenden" aktiviert?
Der KDC ist bei uns der Windows-Domänen-Controller mit dem Active Directory und natürlich übers Netz erreichbar.
Also Fragen über Fragen. Ein befreundeter i5-Profi hat mir geraten, die Finger von Kerberos zu lassen. Das sei nichts "Gescheites".
Aber in Hinblick auf eine vernünftige Integration in das Windows-Netzwerk mit Domänen-Controller und Active-Directory, scheint es mir schon sinnvoll zu sein.
Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.
Danke
Günter
-
Zitat von gue_br
Die Lösung mit dem _netrc (bzw. .netrc unter Linux) habe ich ausprobiert. Geht, aber ist für viele Nutzer nicht wartbar.
Danke
Günter
Moin,
nur mal für mein Verständnis, was ist denn da für viele Nutzer nicht wartbar?
mfg
DKSPROFI
-
Guten Morgen DKSPROFI!
Die Wartbarkeit bezieht sich auf die Lösung mit _netrc im USER-Verzeichnis.
Auch ist die Datei mit dem Klartextpasswort einsehbar.
Schöne Grüße
Günter
-
Moin gue_br,
da gebe ich Dir recht, wenn die Anwender ihr Passwort regelmäßig ändern müssen. Bei unseren 30 Anwendern, habe ich das nicht, da die Passwörter - leider gewollt von oben - nicht geändert werden. Außerdem haben wir keinen Windows Server.
Das mit dem Klartextpasswort isrt natürlich ein Problem, dient aber leider der Bewuemlichkeit der Anwender.
Was habe ich ir da schon alles anhören müssen.......
mfg
DKSPROFI
-
Hallo!
Ich hab bei einem "speziellen" User das Problem so gelöst, dass ich ein UsrPrf pcuser mit signoff (INLMNU u. bei INLPGM *None) und eingeschränkten Möglichkeiten (LMTCPB) erstellt habe und dieses in der _netrc eingetragen.
Am grünen Schirm meldet man sich dann "richtig" an.
Günter
Similar Threads
-
By ExAzubi in forum IBM i Hauptforum
Antworten: 4
Letzter Beitrag: 30-04-15, 14:56
-
By jfh66 in forum IBM i Hauptforum
Antworten: 3
Letzter Beitrag: 19-02-15, 09:38
-
By linpac in forum NEWSboard Windows
Antworten: 4
Letzter Beitrag: 25-02-02, 11:18
-
By sukky in forum NEWSboard Windows
Antworten: 2
Letzter Beitrag: 11-01-02, 07:13
-
By hs in forum IBM i Hauptforum
Antworten: 6
Letzter Beitrag: 02-07-01, 14:57
Tags for this Thread
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
Bookmarks