[NEWSboard IBMi Forum]

Thema: SingleSignon

  1. #1
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005

    SingleSignon

    Hallo,

    ich hab vor kurzem auf unseren beiden Maschinen SSO eingerichtet und hätte da noch ein paar Verständnisfragen.

    Das KDC läuft auf unserem Windows AD-Server. Das heißt ein Benutzer meldet sich an der Windows-Domäne an und bekommt vom Kerberos-Server ein Ticket. Wenn die 5250-Sitzungen auf Kerberos-Authentifizierung eingestellt sind, kommt man ohne weitere Anmeldung ins AS/400-Menü. Beim Netserver und beim Navigator funktioniert das auch ohne Probleme. So weit so gut.

    Beim RDi hat man ja seit Version 9.5.1 auch diese Möglichkeit. Ich hab das mal getestet und hier ist es so, dass ich trotzdem jeden Tag mein Kerberos-Kennwort eingeben muss. Bei einem weiteren Neustart ist das dann nicht mehr erforderlich. Ich vermute mal das liegt daran, dass das Ticket abgelaufen ist. Ist das korrekt? Aber warum funktioniert die 5250-Anmeldung ohne Kennwort, jedoch die RDi-Anmeldung nicht?

    Verwendet jemand von Euch Kerberos beim RDi, und wenn ja habt Ihr dann mal einen Debug ausgeführt? Bei mir erscheint dann ein "Fehler beim Port 3825". Nach Umstellung auf Benutzer-ID Authentifizierung funktioniert der Debug wieder normal.

    Wenn ich von unserer Test-Maschine per DDM auf die Produktiv-Maschine zugreifen will, erhalte ich auch erst mal einen Authentifizierungsfehler. Hab dann herausgefunden, dass ich zunächst einen KINIT ausführen muss und mein Kennwort eingeben muss, um ein Kerberos-Ticket zu erhalten. Das muss ich auch jeden Tag neu machen, weil das Ticket nach 10 Stunden abgelaufen ist. Dann kann man doch nicht unbedingt von SingleSignon sprechen, wenn man sich doch wieder überall separat anmelden muss. Oder verstehe ich hier grundsätzlich etwas falsch?

    Viele Grüße,
    KM

  2. #2
    Registriert seit
    Jan 2012
    Beiträge
    1.102
    Wir verwenden grundsätzlich Kerberos und RDi. Ich bin mir aber nicht mehr sicher, ob RDi bei uns tatsächlich Kerberos benutzt. Ich meine, dass man bei der Definition der Verbindung (Ferne Systeme) sagen kann, dass RDi das Kennwort speichern soll.

    Jedenfalls kann man eine Standard-Benutzer-ID angeben. Ich meine, man wird nur einmalig nach dem Kennwort gefragt und dann nochmal gefragt, ob RDi sich das Kennwort merken soll.

    Jedenfalls kann ich jeden Morgen problemlos RDi benutzen, ohne mich neu anzumelden.

    Dieter

  3. #3
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Man kann nur bei "Benutzer-ID"-Authentifizierung angeben, dass das Kennwort gespeichert werden soll. Bei einer Kerberos-Kennwortänderung muss man dann aber auch hier wieder das Kennwort ändern.

    Dann hast Du in Deinem RDi offenbar keine Kerberos-Authentifizierung eingestellt. Wäre es möglich, dass Du das bitte mal testen könntest (vor allem auch die Sache mit dem Debug)? Würde mich schon interessieren, ob ich da richtig liege.

    Kann jemand zu meinem anderen Problem noch was sagen? Hat sonst keiner Erfahrung mit SingleSignon auf der AS/400?

    Viele Grüße,
    KM

  4. #4
    Registriert seit
    Jan 2012
    Beiträge
    1.102
    Zur Klarstellung: Wir verwenden bei uns grundsätzlich Kerberos. Z.B. um Sitzungen auf der iSeries ohne Anmeldung zu starten. Beim RDi ist kein Kerberos eingestellt. Dort haben wir die Kennwortspeicherung aktiv. Ich wollte nur diese Alternative aufzeigen. In der Tat wird bei jeder Kennwortänderung das Kennwort im RDi einmalig neu abgefragt.

    Wenn es nicht zu aufwendig ist, teste ich gerne eine Kerberos Verbindung mit RDi. Du müsstest mir nur sagen, was ich das einstellen muss. Auf die Schnelle habe ich bei der Einrichtung einer neuen Verbindung nichts in der Richtung gefunden.

    Dieter

  5. #5
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Hallo,

    einfach unter
    Benutzervorgaben -> Ferne Systeme -> IBM i -> Authentifizierung
    von "Benutzer-ID" auf "Kerberos" umstellen.

    Viele Grüße,
    KM

  6. #6
    Registriert seit
    Jan 2007
    Beiträge
    904
    Wenn man Dr. Google in diese Richtung frägt, kommt man schnell auf ein Ergebnis. Ich verwende Kerberos mit RDi nicht, abgesehen davon, dass RDi und SSO erst seit Version 9.5.1 möglich ist.

    Weitere Infos:
    https://www.ibm.com/support/knowledg...ros_intro.html
    kf

  7. #7
    Registriert seit
    Jan 2012
    Beiträge
    1.102
    Bei mir schlägt die Kerberos Verbindung im RDi immer fehl. Unsere Administration guckt sich das nochmal an. Im Moment kann ich deshalb keinen Test für dich durchführen.

  8. #8
    Registriert seit
    Sep 2008
    Beiträge
    70
    Wie sieht den der Prozess aus, wenn ihr einen neuen AS400 User benötigt? Ich nehme mal an, dieser wird im ActiveDirectory angelegt. Und dann? Taucht der plötzlich in der AS400 auf u. ich kann ihn in die entsprechenden Gruppen zuweisen, oder lege ich solche Rollen u. Gruppenberechtigungen ausschließlich im AD an? Synchronisiert sich dann die AS400 mit dem AD (z.B. über LDAP)?

  9. #9
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Der Benutzer muss sowohl im AD als auch auf der AS/400 angelegt werden, da Kerberos ja nur ein Authentifizierungssystem und kein Berechtigungssystem ist. Da wird sonst nichts weiter abgeglichen. Im iNavigator muss im EIM für den Benutzer ein Eintrag erstellt werden, bei dem das Source-System und Target-System definiert wird. Und damit klappt dann das SingleSignon.

    Gruß,
    KM

  10. #10
    Registriert seit
    Sep 2008
    Beiträge
    70
    Danke, das ist sehr Interessant! Wie hoch ist dafür der geschätzte Aufwand, von einem System mit niedrigster Kennwortstufe (glaube Stufe 1?) auf Kerberos u. SingleSignon umzustellen?

    Ich vermute, dass SingleSignOn nicht direkt mit einer Kennwortpolicy zusammenhängen muss - wenn aber im AD eine Kennwortpolicy aktiv ist, dann muss die vermutlich auch auf der AS400 "kompatibel" sein?

  11. #11
    KM is offline [professional_User]
    Registriert seit
    Apr 2003
    Beiträge
    1.005
    Der Aufwand ist hier schwierig zu schätzen. Wenn man weiß wie es funktioniert, ist es sicher recht schnell erledigt. Für mich war es damals komplettes Neuland. Deshalb hat es auch entsprechend gedauert, bis ich alles korrekt konfiguriert hatte. Es gibt aber auch entsprechende Handbücher, z.B.

    https://www.google.de/url?sa=t&rct=j...6zVvRZicPsyRKA

    Die Kennwortpolicy auf der AS/400 dürfte dann ziemlich egal sein, da man sich ja über die Windows-Domäne authentifiziert. Theoretisch könnte man im Benutzerprofil sogar das Kennwort auf *NONE setzen. Aber dann hast Du halt ein Problem, falls Du Dich doch mal im Greenscreen manuell anmelden willst. Also solltest Du doch schon die Policy vereinheitlichen.

    Gruß,
    KM

  12. #12
    Registriert seit
    Jan 2006
    Beiträge
    38
    Hallo Gutmann,

    eine Kennwortpolicy im AD hat nichts mit einer Kennwortpolicy auf der As400 zu tun, beide sind komplett unabhängig. Durch den Eintrag im EIM müssen auch die Userprofile nicht identisch sein, d. h. ein AD User 'Huber Fritz' kann auf ein OS400 Userprofil HUFRI gemappt werden!
    Ich habe das damals anhand der Redbooks gemacht, da passten die Infos bzgl. AD genau zu unserem AD (Windows 2008 R2). Besonderheit: wenn ihr die AS400 clustert mit XSM und mind. V7R2 habt, kann man die QUSRDIRDB in den IASP legen und ist dann schon mal besser für einen switchover gerüstet..

    MfG
    Dominik Meyer

Similar Threads

  1. SingleSignOn unter V7R2 mit AES
    By l_shelby in forum IBM i Hauptforum
    Antworten: 6
    Letzter Beitrag: 23-11-16, 12:13
  2. SingleSignOn und Passwortänderung
    By cid0m in forum IBM i Hauptforum
    Antworten: 4
    Letzter Beitrag: 30-06-16, 12:45

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •