Page 1 sur 1

NETSERVER et EIM

Posté : lun. 14 nov. 2016, 11:39:34
par PGG57
Bonjour,

Sur mon As400 en version V7R1, j'ai configuré le SSO via EIM. La partie émulation 5250 fonctionne très bien, mais la partie partage de l'IFS via le Netserver fonctionne en partie.
Il y a des problèmes de droits sur les données, les utilisateurs "arrivant" dans le Netserver en tant qu'Invité.
Le Netserver est bien paramétré en méthode d'authentification = Mot de passe/Authentification Réseau.
Le Point Service (qui renvoit d'ailleurs sur la doc. Volubis) m'a demandé de vérifier les profils HOST et cifs sur le serveur Windows... Ceux-ci semblent corrects.

Je ne sais plus où regarder.
merci pour votre aide.

Fuseu horaire

Posté : lun. 14 nov. 2016, 13:19:48
par cmasse
Est vous bien à la même heure PC/IBM i , par ces temps de passage à l'heure d'hiver ?


J'utilise souvent cette page pour faire le tours des problèmes possibles http://www-01.ibm.com/support/docview.w ... s8N1016361

Regardez les logs de QZLSSERVER dans QSERVER

vous devriez trouver des messages CPD3E3F qui peuvent vous aider.


Vous pouvez aussi exporter ces variables dans un fichier envvar de la home directory de l'utilisateur ayant un problème :

_EUV_SVC_MSG_LOGGING=STDOUT_LOGGING
_EUV_SVC_MSG_LEVEL=VERBOSE
_EUV_SVC_STDOUT_FILENAME=/home/<USERDIR>/trace.txt
_EUV_SVC_DBG_MSG_LOGGING=1
_EUV_SVC_DBG_TRACE=1
_EUV_SVC_DBG=*.9



Enfin, l'utilitaire KerbTray (disponible sur le site Microsoft.com) permet de voir les tickets Kerberos sur le poste client.

Posté : mar. 15 nov. 2016, 15:22:14
par PGG57
Après avoir investigué... je me suis aperçu que dans KEYTAB list je n'avais aucune entrée concernant CIFS ou HOST.
Je suis donc allé via iseries navigator dans Secutité/Service d'authentification/Gestion du fichier des clés. La partie HTTP, Netserver, NFS étaient pré-cochées car manquantes.

Problème, j'ai beau saisir les clefs via l'assistant... lorsque je reviens dessus elles sont toujours manquantes???

Que faire pour les enregistrer ? Faut-il que personne n'utilise les services Netserver ?
J'ai essayé de n'entrer que la clef de HTTP (non utilisée)... idem, cela ne s'enregistre pas.

Je suis en V7R1 sous le profil QSECOFR.
Merci pour votre aide.

Posté : mar. 15 nov. 2016, 15:33:44
par sebgue
Il me semble que j'avais eu ce problème avec System i Navigator, du coup j'avais retenté avec IBM i Access Client Solution et j'avais réussi par ce biais.

navigator for I

Posté : mar. 15 nov. 2016, 18:36:55
par cmasse
Effectivement c'est bizarre ???

je viens de refaire la manip, sous QSECOFR, ca marche.

vous pouvez aussi utiliser Navigator for I , (web) qui est plus à jour, il inclut par exemple le SSO pour FTP, pas la version Win32.

Posté : mer. 16 nov. 2016, 11:49:24
par PGG57
J'ai essayé les 2 méthode I Access Solution et Navigator for I(Web) et toujours le même résultat pas de nouvelles clefs enregistrées.
Par contre, je me suis aperçu que dans le fichier des clefs Krb5.keytab il y a plein de lignes "vides" (environ 30000) après la re-saisie de clef. Lignes vides présentes entre les clefs Krbsrv400 et ldap (reconnues) et la ou les nouvelles clefs générées.
Même si je supprime "manuellement" ces lignes vides, les clefs "nouvelles" ne sont toujours pas visible dans keytab list.
Et les lignes vides reviennent immanquablement à chaque saisie de nouvelles clefs.

Y a-t-il un moyen de regénérer complètement ce fichier krb5.keytab ? et Si oui y a-t-il un risque de dysfonctionnement des liaisons 5250 via kerberos ?

Posté : jeu. 24 nov. 2016, 17:11:42
par PGG57
Problème trouvé:
Il s'agit de caractères "bizarres" dans le fichier KRB5.KEYTAB qui provoquent cet état de fait... (création de lignes vides et non reconnaissance des nouvelles clefs saisies).

Seule solution fournie par le point service: Supprimer le fichier KRB5.KEYTAB
puis aller dans Iseries navigator ou Navigator for i, section "Sécutiré","Service d'authentification réseau","gestion du fichier de clés" ou "regénération", cela affichera le wizard de configuration sur lequel il suffira de faire suivant et de saisir les mots de passe de chaque clef à utiliser.
Cela remettra le fichier krb5.keytab d'aplomb.