EIM/Kerberos et associations identificateurs

[PGG57]

Bonjour,
Je viens de paramétrer une liaison SSO entre un serveur Kerberos sur Windows et un iSeries. Tout fonctionne parfaitement, mais il me faut rentrer manuellement les identifications "source" avec les identifiants du serveur Windows.
Les identifications de type cible, c'est à dire l'iSeries, peuvent être crées par le CHGUSRPRF et son paramètre EIMASSOC.

Peut-on par un CL créer à partir de données iSeries les associations de type "source", c'est à dire le serveur Windows, afin de remplir cette partie des associations?

[cmasse]

Effectivement ca manque. Tout étant stocké dans le serveur LDAP, essayez la commande ldapadd sous QSH.

[PGG57]

Effectivement ca manque. Tout étant stocké dans le serveur LDAP, essayez la commande ldapadd sous QSH.

Bonjour,

J'ai suivi votre conseil et j'ai essayé d'utiliser LDAPADD mais je n'arrive pas à me connecter.

La démarche suivie est la suivante
Ouverture d'une session QSH
Exécution de la commande ci-dessous
===> ldapadd -h AS400-MANULOC -D "cn=administrator" -w motdepasse -f qlansrv/xfile2.txt

Affichage obtenu dans la session QSH
adding new entry cn=P-Gullung,cn=Identifiers,ibm-eimdomainname=EIM

Contenu du fichier xfile2.txt
dn: cn=P-Gullung,cn=Identifiers,ibm-eimdomainname=EIM
objectclass: top
objectclass: ibm-eimIdentifier
cn: P-Gullung
ibm-eimSourceUserAssoc:90cc6801-3378-19a4-901f-0004ac0ea0bfp-gullung

L'identifiant EIM est bien visible dans system i Navigator avec son lien "source"

Modif du profil utilisateur as400 avec les paramètres suivants:
Identificateur EIM . . . . . . P-Gullung
Type d'association . . . . . . *target
Action d'association . . . . . *add
Créer identificateur EIM . . . *nocrteimid

L'identifiant EIM est toujours visible avec cette fois l'association "cible" renseignée.

Lorsque l'on essaye la session 5250, on obtient l'erreur suivante:
CWBSY1018 -impossible de mapper les accréditations kerberos avec l'utilisateur sur le système AS400 rc=201

PS: Je précise que lorsque l'on fait les manipulations entièrement avec system i Navigator cela fonctionne très bien. Ayant plus de 500 utilisateurs, j'aimerais automatiser ces tâches (surtout la partie association "source").

Merci pour votre aide

[cmasse]

Réponse un peu tardive, mais bon ...

j'ai trouvé (et testé) cet exemple : ça marche
http://forums.iprodeveloper.com/forums/aft/147271

[PGG57]

Je viens enfin de changer d'infra pour être sur une V7R1.

Je tente d'utiliser le programme EIMRPG qui m'avait été transmis mais j'ai une question concernant la variable "Source" qui est indiquée dans le RPG comme initilisée avec 'MYSERVER' + domain

Que dois-je mettre à la place de MYSERVER ?? le nom du registre correspondant à l'association source ??

[cmasse]

Source et Cible

Chez moi

DOMAIN = 'VOLUBIS.INTRA';
SOURCE = 'MONSERVEURWINDOWS' + '.' + DOMAIN + NULL;
TARGET = %TRIM(SYSTEMNAME()) + '.' + DOMAIN + NULL;

[PGG57]

Bonjour,

C'est à dire le nom du serveur défini dans le Centre KDC ou celeui défini comme serveur de mot de passe lors de la configuration??

C'est à dire delui qui s'appelle dans votre document EIMV6 "serveurnt"

[cmasse]

Ce vous indiquez dans l'interface graphique pour chaque identificateur sous le vocable de "registre" (chaque registre étant défini dans "registres utilisateur") , soit pour la source le serveur Windows, enfin l'AD (nommé serveurNT dans mon support) et pour la cible l"AS/400" sur lequel se connecter.

[PGG57]

OK ca marche super bien.

Je vais enfin pouvoir automatiser la création des registres EIM pour mes 500 utilisateurs.

Merci pour votre aide

[deseille]

Bonjour,

Après maintes difficultés (aujourd'hui surmontées) j'ai enfin réussi a configurer Kerberos sur mon infra Power 7 en V7R1 et V7R2 avec AD sous windows 2008 R2, le SSO fonctionne très bien.

Je suis maintenant très intéressé pour crééer en auto les mappings de comptes AD avec mes comptes IBM i. Comme mon admin AD a eu l'intelligence d'insérer un point entre le prénom et le nom des logins, il faut faire la correspondance avec IBM i sans le point...

J'ai lu avec beaucoup d'intéret l'échange ci-dessus malheureusement, le lien vers le RPG est cassé.

Je recherche un programme (simple) ou mieux, un CL permettant d'ajouter les ID source de l'AD dans EIM puisque pour la partie ID cible, la commande CHGUSRPRF me convient parfaitement.

Merci pour vos exemples.

[deseille]

Bonjour,

J'ai récupéré un programme avec API à l'adresse suivante :

http://cibretagne.org/news/liens/AF4SRC ... rc/EIM.HTM
(En faisant les modifs adaptées à mes noms de domaines et ldap)

Par contre, je n'arrive pas au résultat escompté.
En fait, le programme ne fait rien et ne retourne aucun message d'erreur, ce qui ne facilite pas le debug.

Quelqu'un aurait il déjà utilisé/testé ce programme ?
Comment récupérer les logs ?

Merci pour votre aide.

[deseille]

Bonjour,

Après une après-midi de tests en mode debug ILE
(c'est bien ce qu'il fallait faire pour avoir les logs et voir ce qu'il se passe dans le programme), l'objectif est enfin atteint !!!!

Le programme fonctionne et je peux créer automatiquement mes ID EIM avec une correspondance différente entre les comptes Windows AD et les comptes IBM i.



J'ai une version modifiée du programme avec les domaines, les ID et tout y quanti.

Vu comment j'ai galéré, je vous transmet ici ce qui ne fonctionnait pas chez moi, cela pourra éviter de grosses galères aux suivants :

Bien que la connexion ldap fonctionnait, l'appel de l'API "eimAddIdentifier" se soldait par le message :
EIM Identifier not found or insufficient access to EIM data
ou
Unexpected LDAP error. ldap_add_s - No such object

Le nom à rallonge du ldap était en cause, dans mon exemple, il ne fallait pas indiquer la liste des "CN=" à la suite du ibm-eimdomaine
C'est en analysant les causes probables de messages d'erreurs sur les sites IBM que j'ai fini par trouver.

@+ sur le forum