[{TableOfContents }]\\
!!! Scopo del documento\\
In questo documento sono elencate tutti i prerequisiti necessari affinchè si possa attivare l'autentizazione SSO con Kerberos tra CA e iSeries e tra LoocUp e iSeries.

Verranno inoltre descritte le verifiche preliminari di tutti gli attori in gioco: KDC (normalmente l'AD), il iSeries,  i client, lo SmeUp e LoocUp.


!!! Prerequisiti lato Iseries\\

* __DEVE ESSERE ATTIVO IL CONTRATTO DI MANUTENZIONE SW IBM__\\
* Versione di sistema operativo i5/os uguale o superiore a V5R2M0\\
* __Ultimo cumulativo PTF per la versione di i5/os installata.__\\
* I seguenti prodotti programma installati su Iseries:\\
** 5722SS1 Option 12 OS/400 - Host Servers\\
** 5722SS1 Option 30 OS/400 - QShell Interpreter\\
** 5722AC3 Crypto Access Provider 128-bit for AS/400\\
** 5722CE3 Client Encryption 128-bit (optional for Client side encryption)\\
** 5722DG1 IBM HTTP Server for iSeries (optional for additional scenarios)\\
** 5722XE1 iSeries Access for Windows\\
* Autorizzazioni *SECOFR per l'utente che configura il servizio (deve avere solo i diritti di *IOSYSCFG e *ALLOBJ)\\
* Valore di sistema QRMTSIGN impostato a *VERIFY- iSeries configurato per utilizzare gli stessi DNS Server utilizzati da AD (sconsigliato utilizzare la tabella host).\\
* Corretta impostazione dei valori di sistema QTIME e QTIMZON\\
* Configurazione del server NTP (servizio tcp/ip SNTP) in modo che l'adattamento ora sia automatico (meglio configurarlo con il server dns interno AD)\\
* Authentication Method di i5/OS Netserver impostato a Password/Network autenthication. Ogni utente AS400 deve avere la HOME definita, vedere anche i prerequisiti SmeUp.\\

__NOTA__: nel manuale IBM "Redbook Windows-based Single Signon and the EIM .pdf", si consiglia la consultazione dell'appendice D: contiene utili tabelle in fase di preanalisi e di configurazione.

!!! Prerequisiti lato SmeUp\\
* Prima di creare la HOME per ogni utente  fare riferimento alla nota tecnica 000493 - Percorsi IFS e   Single Sign On.\\

!!! Prerequisiti lato Server Windows\\

# SO Domain controller Windows Server 2003 o superiore con Microsoft Active directory\\
# Il livello funzionale del domino e della foresta Active Directory minimo deve essere Windows Server 2003.\\
# Support tools installati per abilitazione Ktpass (Su 2008 sono gia implementati ci servono solo su w2k3).\\
# Aggiornamento struttura Active Directory (nel caso di windows 2003 deve essere struttura AD 2003).\\
# Configurazione di reverse loocup DNS funzionante e testata (verificare il corretto funzionamento del DNS).\\
# Presenza nel dominio AD degli account necessari alla comunicazione kerberos  tra iSeries e AD.\\

!!! Prerequisiti lato client Pc\\

# Tutti i client devono essere correttamente uniti al dominio Active Directory in questione.\\
# Tutti i client interessati alla funzionalità devono utilizzare Windows 2000 Professional o superiori. Non sono ammesse licenze Home o Home Premium in quanto non unibili all'Active Directory.\\
# La tabella host del client NON deve contenere riferimenti alla risorsa cui si vuole accedere (Kerberos utilizza anche il DNS diretto e inverso per la verifica del ticket di autenticazione).\\
# In caso di sistema Windows7 o XP il supporto a kerberos deve essere abilitato. Vanno modificate delle chiavi di registro (da distribuire via policy). Vedi documento LOBASE_50D (link riportato di seguito)\\
# In caso di sistema operativo Windows7 e Active Directory 2008, vanno modificati i tipi di criptatura consentiti per kerberos. Far riferimento al documento:\\
[SSO - Configurazione dominio Windows|MBDOC-LOBASE_50D]\\

!!! Prerequisiti Loocup\\

# Aver installato una versione V3R1 o successiva.\\
# Deve essere installata una JVM 6.0 (1.6.0) a 32 bit.\\


!!! Prerequisiti Operation Navigator\\

# Per l'accesso al iSeries tutti i client devono aver installato Client Access 5.3 o superiore nel caso di Windows 2000 o XP e Client Access 5.8 o superiori per Vista e Windows 7.  L'accesso all'iSeries in SSO tramite un'emulazione telnet 5250 è non è possibile tramite software di terze parti in quanto ad oggi non supportano il protocollo Kerberos.\\
# Per la configurazione e l'amministrazione dell'EIM: aver installato le opportune funzioni dell'Iseries Operation Navigator.\\