Hallo,

ich hab vor kurzem auf unseren beiden Maschinen SSO eingerichtet und hätte da noch ein paar Verständnisfragen.

Das KDC läuft auf unserem Windows AD-Server. Das heißt ein Benutzer meldet sich an der Windows-Domäne an und bekommt vom Kerberos-Server ein Ticket. Wenn die 5250-Sitzungen auf Kerberos-Authentifizierung eingestellt sind, kommt man ohne weitere Anmeldung ins AS/400-Menü. Beim Netserver und beim Navigator funktioniert das auch ohne Probleme. So weit so gut.

Beim RDi hat man ja seit Version 9.5.1 auch diese Möglichkeit. Ich hab das mal getestet und hier ist es so, dass ich trotzdem jeden Tag mein Kerberos-Kennwort eingeben muss. Bei einem weiteren Neustart ist das dann nicht mehr erforderlich. Ich vermute mal das liegt daran, dass das Ticket abgelaufen ist. Ist das korrekt? Aber warum funktioniert die 5250-Anmeldung ohne Kennwort, jedoch die RDi-Anmeldung nicht?

Verwendet jemand von Euch Kerberos beim RDi, und wenn ja habt Ihr dann mal einen Debug ausgeführt? Bei mir erscheint dann ein "Fehler beim Port 3825". Nach Umstellung auf Benutzer-ID Authentifizierung funktioniert der Debug wieder normal.

Wenn ich von unserer Test-Maschine per DDM auf die Produktiv-Maschine zugreifen will, erhalte ich auch erst mal einen Authentifizierungsfehler. Hab dann herausgefunden, dass ich zunächst einen KINIT ausführen muss und mein Kennwort eingeben muss, um ein Kerberos-Ticket zu erhalten. Das muss ich auch jeden Tag neu machen, weil das Ticket nach 10 Stunden abgelaufen ist. Dann kann man doch nicht unbedingt von SingleSignon sprechen, wenn man sich doch wieder überall separat anmelden muss. Oder verstehe ich hier grundsätzlich etwas falsch?

Viele Grüße,
KM