| At line 1 added 59 lines |
| [{TableOfContents }]\\ |
| !!! Scopo del documento\\ |
| In questo documento sono elencate tutti i prerequisiti necessari affinchè si possa attivare l'autentizazione SSO con Kerberos tra CA e iSeries e tra LoocUp e iSeries. |
|
| Verranno inoltre descritte le verifiche preliminari di tutti gli attori in gioco: KDC (normalmente l'AD), il iSeries, i client, lo SmeUp e LoocUp. |
|
|
| !!! Prerequisiti lato Iseries\\ |
|
| * __DEVE ESSERE ATTIVO IL CONTRATTO DI MANUTENZIONE SW IBM__\\ |
| * Versione di sistema operativo i5/os uguale o superiore a V5R2M0\\ |
| * __Ultimo cumulativo PTF per la versione di i5/os installata.__\\ |
| * I seguenti prodotti programma installati su Iseries:\\ |
| ** 5722SS1 Option 12 OS/400 - Host Servers\\ |
| ** 5722SS1 Option 30 OS/400 - QShell Interpreter\\ |
| ** 5722AC3 Crypto Access Provider 128-bit for AS/400\\ |
| ** 5722CE3 Client Encryption 128-bit (optional for Client side encryption)\\ |
| ** 5722DG1 IBM HTTP Server for iSeries (optional for additional scenarios)\\ |
| ** 5722XE1 iSeries Access for Windows\\ |
| * Autorizzazioni *SECOFR per l'utente che configura il servizio (deve avere solo i diritti di *IOSYSCFG e *ALLOBJ)\\ |
| * Valore di sistema QRMTSIGN impostato a *VERIFY- iSeries configurato per utilizzare gli stessi DNS Server utilizzati da AD (sconsigliato utilizzare la tabella host).\\ |
| * Corretta impostazione dei valori di sistema QTIME e QTIMZON\\ |
| * Configurazione del server NTP (servizio tcp/ip SNTP) in modo che l'adattamento ora sia automatico (meglio configurarlo con il server dns interno AD)\\ |
| * Authentication Method di i5/OS Netserver impostato a Password/Network autenthication. Ogni utente AS400 deve avere la HOME definita, vedere anche i prerequisiti SmeUp.\\ |
|
| __NOTA__: nel manuale IBM "Redbook Windows-based Single Signon and the EIM .pdf", si consiglia la consultazione dell'appendice D: contiene utili tabelle in fase di preanalisi e di configurazione. |
|
| !!! Prerequisiti lato SmeUp\\ |
| * Prima di creare la HOME per ogni utente fare riferimento alla nota tecnica 000493 - Percorsi IFS e Single Sign On.\\ |
|
| !!! Prerequisiti lato Server Windows\\ |
|
| # SO Domain controller Windows Server 2003 o superiore con Microsoft Active directory\\ |
| # Il livello funzionale del domino e della foresta Active Directory minimo deve essere Windows Server 2003.\\ |
| # Support tools installati per abilitazione Ktpass (Su 2008 sono gia implementati ci servono solo su w2k3).\\ |
| # Aggiornamento struttura Active Directory (nel caso di windows 2003 deve essere struttura AD 2003).\\ |
| # Configurazione di reverse loocup DNS funzionante e testata (verificare il corretto funzionamento del DNS).\\ |
| # Presenza nel dominio AD degli account necessari alla comunicazione kerberos tra iSeries e AD.\\ |
|
| !!! Prerequisiti lato client Pc\\ |
|
| # Tutti i client devono essere correttamente uniti al dominio Active Directory in questione.\\ |
| # Tutti i client interessati alla funzionalità devono utilizzare Windows 2000 Professional o superiori. Non sono ammesse licenze Home o Home Premium in quanto non unibili all'Active Directory.\\ |
| # La tabella host del client NON deve contenere riferimenti alla risorsa cui si vuole accedere (Kerberos utilizza anche il DNS diretto e inverso per la verifica del ticket di autenticazione).\\ |
| # In caso di sistema Windows7 o XP il supporto a kerberos deve essere abilitato. Vanno modificate delle chiavi di registro (da distribuire via policy). Vedi documento LOBASE_50D (link riportato di seguito)\\ |
| # In caso di sistema operativo Windows7 e Active Directory 2008, vanno modificati i tipi di criptatura consentiti per kerberos. Far riferimento al documento:\\ |
| [SSO - Configurazione dominio Windows|MBDOC-LOBASE_50D]\\ |
|
| !!! Prerequisiti Loocup\\ |
|
| # Aver installato una versione V3R1 o successiva.\\ |
| # Deve essere installata una JVM 6.0 (1.6.0) a 32 bit.\\ |
|
|
| !!! Prerequisiti Operation Navigator\\ |
|
| # Per l'accesso al iSeries tutti i client devono aver installato Client Access 5.3 o superiore nel caso di Windows 2000 o XP e Client Access 5.8 o superiori per Vista e Windows 7. L'accesso all'iSeries in SSO tramite un'emulazione telnet 5250 è non è possibile tramite software di terze parti in quanto ad oggi non supportano il protocollo Kerberos.\\ |
| # Per la configurazione e l'amministrazione dell'EIM: aver installato le opportune funzioni dell'Iseries Operation Navigator.\\ |
|
