View Attach Info

Add new attachment

Only authorized users are allowed to upload new attachments.

This page (revision-1) was last changed on 07-Nov-2022 16:11 by UnknownAuthor

Only authorized users are allowed to rename pages.

Only authorized users are allowed to delete pages.

Difference between version and

At line 1 added 269 lines
%%(display:none)
{{{
WikiUp
}}}
/%
[{TableOfContents }]\\
!!! Contenuto\\
\\
La seguente guida prevede le verifiche preliminari, i prerequisiti, e l'implementazione lato iSeries.\\
\\
Per i prerequisiti degli altri attori in gioco (KDC, PC ) consultare il documento:\\
[SSO - Prerequisiti|MBDOC-LOSSON_50A]\\
\\
\\
!!! Prerequisiti lato iSeries\\
Riportiamo per comodità i prerequisiti:\\
\\
# Versione di sistema operativo i5/os uguale o superiore a V5R2M0\\
# __Ultimo cumulativo PTF per la versione di i5/os installata.__\\
# I seguenti prodotti programma installati su iSeries:\\
## 5722SS1 Option 12 OS/400 - Host Servers\\
## 5722SS1 Option 30 OS/400 - QShell Interpreter\\
## 5722AC3 Crypto Access Provider 128-bit for AS/400\\
## 5722CE3 Client Encryption 128-bit (optional for Client side encryption)\\
## 5722DG1 IBM HTTP Server for iSeries (optional for additional scenarios)\\
## 5722XE1 iSeries Access for Windows\\
# Autorizzazioni *SECOFR per l'utente che configura il servizio (deve avere solo i diritti di *IOSYSCFG e *ALLOBJ)\\
# Valore di sistema QRMTSIGN impostato a *VERIFY\\
# iSeries configurato per utilizzare gli stessi DNS Server utilizzati da AD (sconsigliato utilizzare la tabella host).\\
# Corretta impostazione dei valori di sistema QTIME e QTIMZON\\
# Configurazione del server NTP (servizio tcp/ip SNTP) in modo che l'adattamento ora sia automatico (meglio configurarlo con il server dns interno AD)\\
# Authentication Method di i5/OS Netserver impostato a Password/Network autenthication. Ogni utente iSeries deve avere la HOME definita, vedere anche i prerequisiti SmeUp.\\
\\
__NOTA__: nel manuale IBM "Redbook Windows-based Single Signon and the EIM .pdf" , si consiglia la consultazione dell'appendice D: contiene utili tabelle in fase di preanalisi e di configurazione.\\
\\
\\
!!! Prerequisiti lato SmeUp:\\
* Prima di creare la HOME per ogni utente fare riferimento alla nota tecnica 000493 - Percorsi IFS e Single Sign On.\\
\\
!!! Come conoscere gli utenti del dominio Active Directory e dell'iSeries.\\
\\
Al fine di effettuare i legami utenti iSeries-utenti dominio Active Directory, è necessario conoscere gli utenti del dominio Active Directory e dell'iSeries.\\
\\
Per conoscere gli utenti di del dominio Active Directory, è necessario collegarsi al Domain Controller, con un desktop remoto di console, avviare la console, poi selezionare Utenti e computer di Active Directory , selezionare il dominio e poi xxxx_Users, dove xxxx è il nome del dominio.\\
Questo elenco si può anche esportare in un file di testo.\\
\\
Per conoscere gli utenti dell'iSeries WRKUSRPRF USRPRF(*ALL), se si ha SmeUp up fun, OJ, *USRPRF\\
\\
\\
!!! PARTE iSeries:\\
\\
Nelle pagine seguenti sono illustrati nell'ordine:\\
\\
* I comandi da richiamare per verificare i prerequisiti\\
* La configurazione della tabella host\\
* La configurazione del realm\\
* La procedura per configurare l'EIM\\
* I riferimenti ai manuali IBM\\
\\
!! Controllo prerequisiti\\
\\
Visualizzazione dei programmi installati (go licpgm opzione 10):\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_122.png' caption='Controllo programmi installati parte 1' width='100%' style='max-width: 100%;'}]\\
Visualizzazione dei programmi installati - continua\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_123.png' caption='Controllo programmi installati parte 2' width='100%' style='max-width: 100%;'}]\\
Verifica del valore di sistema QRMTSIGN : Wrksysval QRMTSIGN\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_124.png' caption='Verifica valore sistema QRMTSIGN' width='100%' style='max-width: 100%;'}]\\
Verifica del valore di sistema QTIMZON: Wrksysval QTIMZON\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_125.png' caption='Verifica valore sistema QTIMZON' width='100%' style='max-width: 100%;'}]\\
Verifica del valore di sistema QTIME: Wrksysval QTIME\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_126.png' caption='Verifica valore sistema QTIME' width='100%' style='max-width: 100%;'}]\\
Verifica tabella host: Cfgtcp opzione 10.\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_127.png' caption='Verifica tabella host' width='100%' style='max-width: 100%;'}]\\
Cfgtcp opzione 12:\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_128.png' caption='Configurazione TCP, opzione 12' width='100%' style='max-width: 100%;'}]\\
!!! Implementazione\\
\\
!! operazioni preliminari\\
Collegarsi in Operation Navigator con uno user con diritti __*SECOFR__ (o con un utente con i diritti sopra elencati)\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_129.png' caption='' width='100%' style='max-width: 100%;'}]\\
Controllare ed eventualmente completare la tabella host iSeries\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_130.png' caption='' width='100%' style='max-width: 100%;'}]\\
Immettere una password per il Tivoli:\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_131.png' caption='' width='100%' style='max-width: 100%;'}]\\
!! Configurazione Dominio accesso REALM e i5/OS NetServer\\
\\
__NOTA__: Nonostante si utilizzi un utente con dirittti *SECOFR, è capitato che l'Operation Navigator non consenta l'accesso al EIM. Provare allora a disintallare e reinstallare l'Operation Navigator.\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_132.png' caption='' width='100%' style='max-width: 100%;'}]\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_133.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_134.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_135.png' caption='' width='100%' style='max-width: 100%;'}]\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_136.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_137.png' caption='' width='100%' style='max-width: 100%;'}]\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_156.png' caption='' width='100%' style='max-width: 100%;'}]\\
* inserire la password che si vuole utilizzare e confermarla\\
* cliccare su next\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_157.png' caption='' width='100%' style='max-width: 100%;'}]\\
* E' possibile accettare il percorso predefinito o eventualmente selezionarne uno alternativo premendo Browse\\
* Cliccare su next\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_158.png' caption='' width='100%' style='max-width: 100%;'}]\\
* Verificare che tutte le informazioni siano coerenti con quanto inserito\\
* Cliccare su finish\\
\\
Collegarsi al Domani controller Microsoft\\
* Copiare il file .bat creato sopra sul server microsoft\\
* Lanciare il file appena copiato\\
* Verranno creati tutti gli utenti necessari per far si da fare accesso all'IFS utilizzando il SSO\\
\\
Come da figura qui sotto riportata\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_159.png' caption='' width='100%' style='max-width: 100%;'}]\\
Passare a iNavigator\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_160.png' caption='' width='100%' style='max-width: 100%;'}]\\
Sempre da iNavigator:\\
* Selezionare Network Servers Tcp/ip\\
* Cliccare con il tasto DX su i5/OS NetServer\\
* Selezionare proprietà\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_161.png' caption='' width='100%' style='max-width: 100%;'}]\\
* Selezionare la scheda security\\
* Verificare che l'authentication method sia impostato a Passwords/Network authentication\\
\\
A questo punto IFS è funzionante anche dopo il cambio di password da windows.\\
\\
!! Creazione utenti del DC\\
Per automatizzare la creazione degli utenti di dominio necessari al dialogo iSeries - DC, utilizzare la seguante procedura:\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_138.png' caption='' width='100%' style='max-width: 100%;'}]* E' possibile accettare il percorso predefinito o eventualmente selezionarne uno alternativo premendo Browse\\
* Cliccare su next\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_139.png' caption='' width='100%' style='max-width: 100%;'}]* Verificare che tutte le informazioni siano coerenti con quanto inserito\\
* Cliccare su finish\\
\\
Collegarsi al Domani controller Microsoft\\
* Copiare il file .bat creato sopra sul server microsoft\\
* Lanciare il file appena copiato\\
* Verranno creati tutti gli utenti necessari per far si da fare accesso all'IFS utilizzando il SSO\\
\\
Come da figura qui sotto riportata\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_140.png' caption='' width='100%' style='max-width: 100%;'}]\\
!! Configurare enterprise identity mapping\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_141.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_142.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_143.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_144.png' caption='' width='100%' style='max-width: 100%;'}]\\
__NOTA__:Nella definizione del NAS va impostato sì, in modifica va selezionato il valore NO\\
\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_145.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_146.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_147.png' caption='' width='100%' style='max-width: 100%;'}]\\
Immettere la password di autenticazione\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_148.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_149.png' caption='' width='100%' style='max-width: 100%;'}]\\
Creare gli identificativi necessari sul nuovo dominio EIM ed associare i registri di dominio/user per l'autenticazione su iSeries\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_150.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_151.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_152.png' caption='' width='100%' style='max-width: 100%;'}]\\
\\
!! IMPOSTAZIONE TCP SU NAS\\
\\
Va fatto sulla NAS (network autentication security)\\
Quindi Operation navigator, Sicurezza, servizio di autenticazione di rete, proprietà:\\
Spuntare __utilizza TCP__\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_162.png' caption='' width='100%' style='max-width: 100%;'}]\\
\\
\\
!!! configurazione emulazione e test\\
Configurare la sessione di emulazione video per autenticarsi come Kerberos nelle proprietà del collegamento\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_153.png' caption='' width='100%' style='max-width: 100%;'}]\\
Questa opzione non è valida per i citrix\\
\\
Testate l'accesso in emulazione\\
\\
[{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_154.png' caption='' width='100%' style='max-width: 100%;'}][{Image src='immagini/MBDOC-LOSSON_50B/LOBASE_155.png' caption='' width='100%' style='max-width: 100%;'}]\\
!!! I MANUALI IBM\\
Maggiori dettagli riguardo la configurazione dell'EIM si trovano nel documento\\
"Redbook Windows-based Single Signon and the EIM .pdf", disponibile al seguente link:\\
[http://www.redbooks.ibm.com/redbooks/pdfs/sg246975.pdf]\\
Molto interessante l'appendice D: contiene due tabelle utili in pre-analisi e configurazione.\\
\\
\\
!!! LA GESTIONE DELLE PASSWORD SU iSeries\\
Una volta che l'accesso in SSO è attivo è funzionante, l'eventuale scadenza della password su iSeries è ininfluente.\\
Non è ininfluente se verrà eseguito il login con utente e password. In questo caso sarà necessario inserire una nuova password.\\
Il cambio di password non influirà sull'autenticazione in SSO.\\
\\
!!! COSA SUCCEDE SE UN'UTENTE E' DISABILITATO\\
Se un utente è disabilitato nessun tipo di accesso è consentito.\\
\\
\\
!!! CONFIGURAZIONE DEL SSO A LIVELLO DI OPERATION NAVIGATOR\\
\\
E' possibile specificare che per un iSeries l'accesso avviene in SSO per tutti i servizi.\\
Attivando questa modalità di connessione si ottiene che, ad esempio, quando si richiama da Loocup la visualizzazione degli spool di stampa, non è più necessario inserire la password.\\
\\
Per attivare l'accesso in SSO per tutti i servizio, aprire l'Operation Navigator, collegarsi all'iSeries e, cliccare con il tasto destro sull'icona dell'iSeries e poi selezionare Proprietà.\\
Nella finestra che si apre, selezionare il pannello Connessione, poi tra le opzioni di connessione scegliere Utilizza nome principal kerberos, senza richiesta.\\
\\
Dopo questa operazione verificare che le informazioni di accesso ID utente del Client Access (Comunicazioni, configura, Proprietà) sia il valore Utilizza il valore predefinito System i Navigator\\
\\
!!! RIMOZIONE CONFIGURAZIONE\\
\\
NOTA: Questa procedura rimuove le configurazioni comuni. Se dopo averla eseguita non fosse possibile riconfigurare l'EIM è necessario contattare l'assistenza IBM, solo loro sono grado di ripristinare la configurazione.\\
\\
Per la rimozione della configurazione compiere i seguenti passi:\\
\\
!! Step 1: Remove EIM.\\
Do the following:\\
# Delete the Identifiers:\\
## In IBM iSeries Navigator, select your system and log in.\\
## Expand Network.\\
## Expand Enterprise Identity Mapping.\\
## Expand Domain Management.\\
## Select your domain and authenticate the LDAP administrator.\\
## Expand your domain.\\
## Select Identifiers.\\
## In the right window pane, right-click on each identifier and select __Delete....__\\
# Delete the User Registries:\\
## Select User Registries under your domain.\\
## In the right window pane, right-click on each registry and select __Delete....__\\
# Delete the Domain:\\
## Select Domain Management.\\
## In the right window pane, right-click on your domain and select __Delete....__\\
## Click Yes on the warning message.\\
\\
!! Step 2: Remove NAS.\\
Do the following:\\
# In iSeries Navigator, under your system, expand Security.\\
# Expand Network Authentication Service.\\
# Select Realms.\\
# In the right window pane, right-click on the realm and select Delete.\\
# Click OK on the Confirm Realm Deletion window.\\
\\
!! Step 3: Remove Kerberos.\\
Do the following:\\
# Access PASE:\\
## Sign on your System i.\\
## Type the command __call qp2term__.\\
## Type the command __export PATH=$PATH:/usr/krb5/sbin__.\\
\\
# Delete the Kerberos server:\\
## Type the command __unconfig.krb5__.\\
## Type __Y__ for the warning message.\\
## Note the successful message.\\
## Press __F3__ to exit.\\
## Leave the session active.\\
\\
!! Step 4: Delete the NAS Keytab file.\\
Do the following:\\
__Note:__ Deleting the NAS configuration does not delete the keytab file. A new configuration will append to the same file. This can sometimes cause errors.\\
# In the emulation session, type the command __qsh__.\\
# Type the command __keytab list__.\\
# You should see all the principal names scroll by. Roll back up to the top and note the Key table path.\\
# Return to iSeries Navigator and the Integrated File System.\\
# Expand each directory in the path __/QIBM/UserData/OS400/NetworkAuthentication/keytab.__\\
# Right-click on krb5.keytab and select Delete....\\
# Click Yes on the message.\\
\\
Clients that were connecting through Kerberos authentication might need to\\
clear any cached information to connect to this new configuration.\\
References:\\
None.\\
\\
This page has only one version
«