At line 1 added 264 lines |
[{TableOfContents }]\\ |
!!! Contenuto\\ |
|
La seguente guida prevede le verifiche preliminari, i prerequisiti, e l'implementazione lato iSeries. |
|
Per i prerequisiti degli altri attori in gioco (KDC, PC ) consultare il documento: |
[SSO - Prerequisiti|MBDOC-LOBASE_50A]\\ |
|
|
!!! Prerequisiti lato iSeries\\ |
Riportiamo per comodità i prerequisiti: |
|
# Versione di sistema operativo i5/os uguale o superiore a V5R2M0\\ |
# __Ultimo cumulativo PTF per la versione di i5/os installata.__\\ |
# I seguenti prodotti programma installati su iSeries:\\ |
## 5722SS1 Option 12 OS/400 - Host Servers\\ |
## 5722SS1 Option 30 OS/400 - QShell Interpreter\\ |
## 5722AC3 Crypto Access Provider 128-bit for AS/400\\ |
## 5722CE3 Client Encryption 128-bit (optional for Client side encryption)\\ |
## 5722DG1 IBM HTTP Server for iSeries (optional for additional scenarios)\\ |
## 5722XE1 iSeries Access for Windows\\ |
# Autorizzazioni *SECOFR per l'utente che configura il servizio (deve avere solo i diritti di *IOSYSCFG e *ALLOBJ)\\ |
# Valore di sistema QRMTSIGN impostato a *VERIFY\\ |
# iSeries configurato per utilizzare gli stessi DNS Server utilizzati da AD (sconsigliato utilizzare la tabella host).\\ |
# Corretta impostazione dei valori di sistema QTIME e QTIMZON\\ |
# Configurazione del server NTP (servizio tcp/ip SNTP) in modo che l'adattamento ora sia automatico (meglio configurarlo con il server dns interno AD)\\ |
# Authentication Method di i5/OS Netserver impostato a Password/Network autenthication. Ogni utente iSeries deve avere la HOME definita, vedere anche i prerequisiti SmeUp.\\ |
|
__NOTA__: nel manuale IBM "Redbook Windows-based Single Signon and the EIM .pdf" , si consiglia la consultazione dell'appendice D: contiene utili tabelle in fase di preanalisi e di configurazione. |
|
|
!!! Prerequisiti lato SmeUp:\\ |
* Prima di creare la HOME per ogni utente fare riferimento alla nota tecnica 000493 - Percorsi IFS e Single Sign On.\\ |
|
!!! Come conoscere gli utenti del dominio Active Directory e dell'iSeries.\\ |
|
Al fine di effettuare i legami utenti iSeries-utenti dominio Active Directory, è necessario conoscere gli utenti del dominio Active Directory e dell'iSeries. |
|
Per conoscere gli utenti di del dominio Active Directory, è necessario collegarsi al Domain Controller, con un desktop remoto di console, avviare la console, poi selezionare Utenti e computer di Active Directory , selezionare il dominio e poi xxxx_Users, dove xxxx è il nome del dominio. |
Questo elenco si può anche esportare in un file di testo. |
|
Per conoscere gli utenti dell'iSeries WRKUSRPRF USRPRF(*ALL), se si ha SmeUp up fun, OJ, *USRPRF |
|
|
!!! PARTE iSeries:\\ |
|
Nelle pagine seguenti sono illustrati nell'ordine: |
|
* I comandi da richiamare per verificare i prerequisiti\\ |
* La configurazione della tabella host\\ |
* La configurazione del realm\\ |
* La procedura per configurare l'EIM\\ |
* I riferimenti ai manuali IBM\\ |
|
!! Controllo prerequisiti\\ |
|
Visualizzazione dei programmi installati (go licpgm opzione 10): |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_01.PNG' caption='Controllo programmi installati parte 1' }] |
Visualizzazione dei programmi installati - continua |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_02.PNG' caption='Controllo programmi installati parte 2' }] |
Verifica del valore di sistema QRMTSIGN : Wrksysval QRMTSIGN |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_03.PNG' caption='Verifica valore sistema QRMTSIGN' }] |
Verifica del valore di sistema QTIMZON: Wrksysval QTIMZON |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_04.PNG' caption='Verifica valore sistema QTIMZON' }] |
Verifica del valore di sistema QTIME: Wrksysval QTIME |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_05.PNG' caption='Verifica valore sistema QTIME' }] |
Verifica tabella host: Cfgtcp opzione 10. |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_06.PNG' caption='Verifica tabella host' }] |
Cfgtcp opzione 12: |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_07.PNG' caption='Configurazione TCP, opzione 12' }] |
!!! Implementazione\\ |
|
!! operazioni preliminari\\ |
Collegarsi in Operation Navigator con uno user con diritti __*SECOFR__ (o con un utente con i diritti sopra elencati) |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_08.PNG' caption='' }] |
Controllare ed eventualmente completare la tabella host iSeries |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_09.png' caption='' }] |
Immettere una password per il Tivoli: |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_10.png' caption='' }] |
!! Configurazione Dominio accesso REALM e i5/OS NetServer\\ |
|
__NOTA__: Nonostante si utilizzi un utente con dirittti *SECOFR, è capitato che l'Operation Navigator non consenta l'accesso al EIM. Provare allora a disintallare e reinstallare l'Operation Navigator. |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_11.png' caption='' }] |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_12.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_13.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_14.png' caption='' }] |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_15.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_16.png' caption='' }] |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_41.png' caption='' }] |
* inserire la password che si vuole utilizzare e confermarla\\ |
* cliccare su next\\ |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_42.png' caption='' }] |
* E' possibile accettare il percorso predefinito o eventualmente selezionarne uno alternativo premendo Browse\\ |
* Cliccare su next\\ |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_43.png' caption='' }] |
* Verificare che tutte le informazioni siano coerenti con quanto inserito\\ |
* Cliccare su finish\\ |
|
Collegarsi al Domani controller Microsoft |
* Copiare il file .bat creato sopra sul server microsoft\\ |
* Lanciare il file appena copiato\\ |
* Verranno creati tutti gli utenti necessari per far si da fare accesso all'IFS utilizzando il SSO\\ |
|
Come da figura qui sotto riportata |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_44.png' caption='' }] |
Passare a iNavigator |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_45.png' caption='' }] |
Sempre da iNavigator: |
* Selezionare Network Servers Tcp/ip\\ |
* Cliccare con il tasto DX su i5/OS NetServer\\ |
* Selezionare proprietà\\ |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_46.png' caption='' }] |
* Selezionare la scheda security\\ |
* Verificare che l'authentication method sia impostato a Passwords/Network authentication\\ |
|
A questo punto IFS è funzionante anche dopo il cambio di password da windows. |
|
!! Creazione utenti del DC\\ |
Per automatizzare la creazione degli utenti di dominio necessari al dialogo iSeries - DC, utilizzare la seguante procedura: |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_16A.png' caption='' }]* E' possibile accettare il percorso predefinito o eventualmente selezionarne uno alternativo premendo Browse\\ |
* Cliccare su next\\ |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_16B.png' caption='' }]* Verificare che tutte le informazioni siano coerenti con quanto inserito\\ |
* Cliccare su finish\\ |
|
Collegarsi al Domani controller Microsoft |
* Copiare il file .bat creato sopra sul server microsoft\\ |
* Lanciare il file appena copiato\\ |
* Verranno creati tutti gli utenti necessari per far si da fare accesso all'IFS utilizzando il SSO\\ |
|
Come da figura qui sotto riportata |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_16C.png' caption='' }] |
!! Configurare enterprise identity mapping\\ |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_17.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_18.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_19.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_20.PNG' caption='' }] |
__NOTA__:Nella definizione del NAS va impostato sì, in modifica va selezionato il valore NO |
|
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_21.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_22.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_23.png' caption='' }] |
Immettere la password di autenticazione |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_24.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_25.png' caption='' }] |
Creare gli identificativi necessari sul nuovo dominio EIM ed associare i registri di dominio/user per l'autenticazione su iSeries |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_26.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_27.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_28.png' caption='' }] |
|
!! IMPOSTAZIONE TCP SU NAS\\ |
|
Va fatto sulla NAS (network autentication security) |
Quindi Operation navigator, Sicurezza, servizio di autenticazione di rete, proprietà: |
Spuntare __utilizza TCP__ |
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_47.PNG' caption='' }] |
|
|
!!! configurazione emulazione e test\\ |
Configurare la sessione di emulazione video per autenticarsi come Kerberos nelle proprietà del collegamento |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_29.png' caption='' }] |
Questa opzione non è valida per i citrix |
|
Testate l'accesso in emulazione |
|
[{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_30.png' caption='' }][{Image src='http://gilberto.smea.it/SmeImg/TAB%C2%A3A/LO/LOBASE/LOBASE_50B_31.png' caption='' }] |
!!! I MANUALI IBM\\ |
Maggiori dettagli riguardo la configurazione dell'EIM si trovano nel documento |
"Redbook Windows-based Single Signon and the EIM .pdf", disponibile al seguente link: |
[http://www.redbooks.ibm.com/redbooks/pdfs/sg246975.pdf]\\ |
Molto interessante l'appendice D: contiene due tabelle utili in pre-analisi e configurazione. |
|
|
!!! LA GESTIONE DELLE PASSWORD SU iSeries\\ |
Una volta che l'accesso in SSO è attivo è funzionante, l'eventuale scadenza della password su iSeries è ininfluente. |
Non è ininfluente se verrà eseguito il login con utente e password. In questo caso sarà necessario inserire una nuova password. |
Il cambio di password non influirà sull'autenticazione in SSO. |
|
!!! COSA SUCCEDE SE UN'UTENTE E' DISABILITATO\\ |
Se un utente è disabilitato nessun tipo di accesso è consentito. |
|
|
!!! CONFIGURAZIONE DEL SSO A LIVELLO DI OPERATION NAVIGATOR\\ |
|
E' possibile specificare che per un iSeries l'accesso avviene in SSO per tutti i servizi. |
Attivando questa modalità di connessione si ottiene che, ad esempio, quando si richiama da Loocup la visualizzazione degli spool di stampa, non è più necessario inserire la password. |
|
Per attivare l'accesso in SSO per tutti i servizio, aprire l'Operation Navigator, collegarsi all'iSeries e, cliccare con il tasto destro sull'icona dell'iSeries e poi selezionare Proprietà. |
Nella finestra che si apre, selezionare il pannello Connessione, poi tra le opzioni di connessione scegliere Utilizza nome principal kerberos, senza richiesta. |
|
Dopo questa operazione verificare che le informazioni di accesso ID utente del Client Access (Comunicazioni, configura, Proprietà) sia il valore Utilizza il valore predefinito System i Navigator |
|
!!! RIMOZIONE CONFIGURAZIONE\\ |
|
NOTA: Questa procedura rimuove le configurazioni comuni. Se dopo averla eseguita non fosse possibile riconfigurare l'EIM è necessario contattare l'assistenza IBM, solo loro sono grado di ripristinare la configurazione. |
|
Per la rimozione della configurazione compiere i seguenti passi: |
|
!! Step 1: Remove EIM.\\ |
Do the following: |
# Delete the Identifiers:\\ |
## In IBM iSeries Navigator, select your system and log in.\\ |
## Expand Network.\\ |
## Expand Enterprise Identity Mapping.\\ |
## Expand Domain Management.\\ |
## Select your domain and authenticate the LDAP administrator.\\ |
## Expand your domain.\\ |
## Select Identifiers.\\ |
## In the right window pane, right-click on each identifier and select __Delete....__\\ |
# Delete the User Registries:\\ |
## Select User Registries under your domain.\\ |
## In the right window pane, right-click on each registry and select __Delete....__\\ |
# Delete the Domain:\\ |
## Select Domain Management.\\ |
## In the right window pane, right-click on your domain and select __Delete....__\\ |
## Click Yes on the warning message.\\ |
|
!! Step 2: Remove NAS.\\ |
Do the following: |
# In iSeries Navigator, under your system, expand Security.\\ |
# Expand Network Authentication Service.\\ |
# Select Realms.\\ |
# In the right window pane, right-click on the realm and select Delete.\\ |
# Click OK on the Confirm Realm Deletion window.\\ |
|
!! Step 3: Remove Kerberos.\\ |
Do the following: |
# Access PASE:\\ |
## Sign on your System i.\\ |
## Type the command __call qp2term__.\\ |
## Type the command __export PATH=$PATH:/usr/krb5/sbin__.\\ |
|
# Delete the Kerberos server:\\ |
## Type the command __unconfig.krb5__.\\ |
## Type __Y__ for the warning message.\\ |
## Note the successful message.\\ |
## Press __F3__ to exit.\\ |
## Leave the session active.\\ |
|
!! Step 4: Delete the NAS Keytab file.\\ |
Do the following: |
__Note:__ Deleting the NAS configuration does not delete the keytab file. A new configuration will append to the same file. This can sometimes cause errors. |
# In the emulation session, type the command __qsh__.\\ |
# Type the command __keytab list__.\\ |
# You should see all the principal names scroll by. Roll back up to the top and note the Key table path.\\ |
# Return to iSeries Navigator and the Integrated File System.\\ |
# Expand each directory in the path __/QIBM/UserData/OS400/NetworkAuthentication/keytab.__\\ |
# Right-click on krb5.keytab and select Delete....\\ |
# Click Yes on the message.\\ |
|
Clients that were connecting through Kerberos authentication might need to |
clear any cached information to connect to this new configuration. |
References: |
None. |
|