EIM

IBM i   propose un Single Signon basé sur Kerberos avec EIM.

KERBEROS est un protocole d'authentification, qui utilise les concepts suivants :

• Ticket
  
  Données encryptées (basé sur un système de clés partagées) prouvant qu'un utilisateur est authentifié par un serveur habilité.
  
  il existe deux types de tickets :

• TGT ou Ticket Granting Ticket, ticket prouvant l'authentification de l'utilisateur, contenant sa clé, cryptée.
• TS ou Ticket service, ticket (basé sur le TGT) prouvant le droit d'utiliser un service particulier, à présenter au fournisseur du service
  
  
• KDC ou Key Distribution Center
  
  Serveur habilité à livrer des tickets (TGT ou TS) pour un Domaine, souvent Windows 2000(ou plus) avec Active Directory, sinon serveur Unix.
  (possible sur IBM i sous PASE)
  
  
• realm ou Domaine
  
  Domaine administratif d'autorité d'un KDC, par tradition, le realm est donné en majuscules.
  
  
• chaque élément du DOMAINE (stations, serveurs) doit avoir un nom unique nommé Principal noté nom-de-machine@DOMAINE-ou-REALM
  

EIM est une architecture et un jeu d'API d'origine IBM complétant Kerberos dans la mise en place du SSO (Single SignOn)

Elle permet d'établir une relation entre une personne physique (identifiant EIM) et l'ID (le profil) qui identifie cette personne sur chaque serveur.
(donc le nom d'utilisateur peut être différent sur Windows et IBM i)

Cette correspondance est enregistrée dans le serveur LDAP de l'IBM i, qui doit être configuré et démarré.

Mise en place (à l'aide de System i Navigator) :

Vérifiez que vous avez installé les logiciels suivants

• i5/OS Host Servers (57xx-SS1 Option 12)
• PASE (57xx Option 33)
• QSHELL (57xx option 30)
• Network Authentification Enablement (57xx-NAE)
• les derniers correctifs de Client Access

1/ Configurez le serveur d'authentification (kerberos)

Sécurité/Service d'authentification réseau et par un clic droit, choisissez configuration.

un assistant est lancé

indiquez ici si vous utilisez un serveur Windows (2000,2003 ou 2008), comme centre Kerberos.

-> si vous utilisez Windows (cas le plus simple et le plus répandu) entrez le nom de domaine

puis les coordonnées du serveur kerberos

et le serveur de mot de passe (normalement le même)

Ensuite, indiquez les services qui vont utiliser EIM (il faut générer des clés)

Indiquez les services à authentifier (ceux pour lesquels il faudra un TS)

puis service par service, entrez le fichier où stocker la clé , le nom de principal et la clé :

ATTENTION, cela va aussi générer un fichier .bat de création d'utilisateurs sur Active Directory si votre KDC est un serveur WINDOWS

la clé saisie ici, sera le mot de passe attribué à l'utilisateur sur l'AD, il doit donc respecter les stratégies imposées par ce dernier (longueur mini par exemple)

pour kerberos
krbsvr400/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA

puis LDAP
ldap/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA

Apache
HTTP/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA

Netserver
HOST/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA (nom complet)
cifs/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA
HOST/as400@DOMAINENT.VOLUBIS.INTRA (nom court)
cifs/as400@DOMAINENT.VOLUBIS.INTRA
HOST/qas400@DOMAINENT.VOLUBIS.INTRA (nom netserver)
cifs/qas400@DOMAINENT.VOLUBIS.INTRA
HOST/10.3.1.1@DOMAINENT.VOLUBIS.INTRA (adresse IOP)
cifs/10.3.1.1@DOMAINENT.VOLUBIS.INTRA

Les lignes HOST/ sont pour les PC avant XP, les lignes cifs/ pour les PC en XP, Seven et suivant...

Vous devez retrouver :

1. Le nom de système (long et court)
2. L'adresse IP
3. le nom Netbios indiqué ici :
   
   

Ensuite, pour utiliser le SSO, il faudra simplement autoriser l'Authentification réseau

NFS
nfs/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA

puis indiquez (conseillé) si vous souhaitez que l'assistant génère le fichier .bat à lancer sur votre serveur Windows, comme vu plus haut.

  Cela va définir les services sur le KDC

Enfin, confirmez cet écran récapitulatif.

2/ Configurez EIM

Réseau/mappage EIM/ configuration et par un clic droit choisissez configuration (ou Reconfiguration)

si le serveur kerberos n'est pas configuré, l'assistant va lancer la configuration vue plus haut.

Indiquez

• Création d'un domaine et inclusion du système dans ce domaine, sur votre première machine
• Inclusion du système dans un domaine existant pour les autres.

indiquez l'annuaire LDAP

il est obligatoire que le serveur LDAP soit sur IBM i (et, préférable, sur la même machine)

sinon, indiqué ces coordonnées

puis l'identifiant avec lequel l'assistant va se connecter à ce dernier..

le serveur EIM fonctionne par domaine, indiquez ici un nom (à créer)

et le suffixe LDAP sous lequel enregistrer les informations

• le nom de registre sous lequel seront enregistrés les utilisateurs locaux
• le nom sous lequel seront enregistrés les correspondances kerberos

l'ID avec lequel l'OS se connectera à EIM (donc au serveur LDAP).

• en clair avec un nom distinctif (cn=administrator) et un mot de passe
• avec kerberos (éventuellement, plus tard)

puis confirmez l'écran récapitulatif en cliquant sur Terminer

Vous devez retrouver les deux registres créés, sous cet affichage :

Ensuite, configurez votre serveur Windows (enregistrement des services)

• Vérifiez que vous avez bien configuré Active Directory et que le service Kerberos est actif.
  
  
• Vérifiez que vous possédez les outils liés à kerberos, en recherchant un exécutable nommé "ktpass"
  
  
  s'il n'est pas présent, insérez le CD de Windows 2000/2003 et installez les Windows Support tools (SupTools.msi)

lancez NASConfig_AS400.bat (remplacez AS400 par le nom de votre serveur)

qui doit lancer une série de commandes comme celles-ci :

NET USER as400_1_krbsvr400 XXXXX /ADD /workstations:none /DOMAIN (DSADD pour windows 2003/2008)
KTPASS -MAPUSER as400_1_krbsvr400 -princ krbsvr400/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA -pass XXXXX -mapOp set

où XXXXX est le mot de passe enregistré par l'assistant et -mapOp indique un remplacement si l'entrée existe déjà.

NET USER créé l'utilisateur dans Active Directory

KTPASS lui associe le principal fourni en paramètre

• cela doit créer les utilisateurs Windows suivants :

Avec ce paramétrage :

Attention, vous remarquerez la case "Utiliser les types de cryptage DES pour ce compte" cochée, c'est obligatoire.

EIM utilisant ce type de cryptage et non le RC4-HMAC de Windows 2003/2008.

Ceci est géré automatiquement par l'ajout de +DesOnly à la commande ktpass générée dans le fichier .bat par l'assistant de Client Access V6R1(et suivantes) (pour Client Access V5R4, installez SI37892).

Pour continuer, retournons sur le System i, lancez QSH depuis une session 5250

puis tapez kinit -k krbsvr400/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA (en remplaçant par vos valeurs)

Si vous voyez le message suivant : "Response too large for datagram"

retournez sur iSeries navigator, demandez les propriétés du service d'authentification (clic droit)
et cochez "Utiliser TCP"

• si vous recevez l'erreur EUVF06007E, la home directory de l'utilisateur avec lequel vous passez la commande n'existe pas
• si vous recevez l'erreur EUVF06014E / Time differential exceeds maximum clock skew, synchronisez vos heures (Windows et System i).
• si vous recevez l'erreur EUVF06014E / Unable to locate security server, vérifiez la casse du nom de domaine (volubis.intra à la place de VOLUBIS.INTRA)
• si vous recevez l'erreur EUVF06014E / Client principal is not found in security registry, vérifiez le nom de principal (krbsrv400 à la place de krbsvr400, par ex.)
• si vous recevez l'erreur EUVF06014E / security server is not defined for requested realm, vérifiez le nom du KDC (serveur à l'écoute sur 88) et la résolution DNS
• si vous recevez l'erreur EUVF06014E / Unable to obtain initial credentail. Status 0x96c73a17 - Password is expired, cochez sur l'AD "le mot de passe n'expire jamais"
• si vous recevez l'erreur EUVF06014E / Encryption type not supported,, voyez la problématique DES ci-dessus, réglée par correctifs.
• si vous recevez l'erreur EUVF06016E / password is nor correct for krbsvr400/xxxxx@XXXX, le mot de passe sur l'AD et le mot de passe enregistré dans krb5.keytab ne concordent pas.
  Essayez kinit (sans le -k) avec les mêmes paramètres, il vous sera demandé un mot de passe et vous pourrez vérifier le mot de passe sur l'AD.
  
  
  Pour modifier le fichier des clés (/QIBM/UserData/OS400/NetworkAuthentication/keytbab/krb5.keytab), utiliser System i Navigator
  
  Sécurité/Service d'authentification réseau -> clic droit : option gestion du fichier de clés, permet de redéfinir les clés sans refaire la configuration.
   Vous pouvez aussi le faire en mode commande, voyez Managing keytab files
  
  

  Par exemple : keytab delete krbsvr400/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA keytab add krbsvr400/as400.volubis.intra@DOMAINENT.VOLUBIS.INTRA -p "MonmotDEpasse"

  
  

si tout marche bien , vous devez voir le prompt ($), vous pouvez vérifier ensuite par klist

keytab list, vous montre la liste détaillée.

Enfin, il faut enregistrer les utilisateurs sous System i Navigator. Connectez vous :

il faut créer

• un identificateur par personne
  
• lui définir au minimum :
  • une association source sur le registre du serveur kerberos (Windows)
  • une association cible sur le registre représentant le system i
    

EN V6R1, vous pouvez même associer plusieurs profils CIBLE pour un même système, à condition de préciser l'adresse IP d'origine permettant de départager (bouton Détail).

Et vous pouvez avoir plusieurs utilisateurs source (Windows) pour un seul utilisateur Cible.




ici les utilisateurs Windows FORMATIONA ou FORMATIONB, utiliserons le profil IBM i FORMATIONA
(attention, ceci dit, à ne pas vous embrouiller, on préférera sans doute la règle du 1 pour 1)

Du coté System i, vous pouvez aussi utiliser la commande :

CHGUSRPRF USRPRF(FORMATION1) EIMASSOC(*USRPRF *TARGET *REPLACE *CRTEIMID)

cela va créer un identificateur (grâce à *CRTEIMID) et lui associer un profil local de même nom, de type cible.


ou utiliser les API EIM pour insérer les identificateurs par programme. (voir cet exemple)

Enfin sur les postes concernés, paramétrez votre connexion Client Access Windows comme ceci :


Base de registre :

HKEY_CURRENT_USER\Software\IBM\Client Access Express\CurrentVersion\Environments\Mes connexions\AS400\Communication
->   Clé Signon Mode à 4.

Par session, créer ou modifier le fichier CAE
[CAE]
UserIDSource=4

ou pour IBM i Access client solution (ACS)

Vous pouvez aussi le préciser au niveau de la session (ici sous ACS)

• Ensuite vérifiez !
  
  
  • Vérifiez que le serveur LDAP est bien démarré (il est nommé IBM Tivoli Directory Server)
    
    
    
    
  • Si vous recevez cette erreur (CWBSY1012) :
    
    
    Il y a une entrée pour l'adresse IP de l'AS/400 dans votre fichier hosts autre que as400.volubis.intra (dans nos exemples)
    Cela est possible particulièrement si vous avez installé WDS client qui modifie votre fichier hosts (rappel il se trouve dans /windows/system32/driver/etc).
    
    Sous DOS, tapez ping -a xxx.xxx.xxx.xxx (votre adresse IP) vous verrez alors sous quel nom elle est reconnue
    
    Si ce n'est pas le bon nom, vérifiez votre serveur DNS ou modifiez le fichier host local.
    
      Dans tous les cas, essayez de vous reconnecter...
    
    
    
  • Si vous recevez CWBSY1011 l'accréditation renvoyée par Windows, n'est pas trouvée :
    • Fermez votre session et ouvrez la à nouveau au cas ou le ticket serait trop ancien..
    • Vérifiez que vous êtes bien signé sous un Domaine (et le bon, celui ayant le realm indiqué dans l'assistant)
    • Rappel, sous Windows 7 activez DES pour kerberos (n'est pas activé par défaut), voyez aussi ce document
      ou bien paramétrez le serveur d'authentification pour AES
      
      
  • Si vous recevez CWBSY1017 (rc=608) IBM i ne pense pas que ce service soit pour lui
    (problème de nom de HOST, vérifiez CFGTCP option 10)
    
    
  • Si vous recevez CWBSY1017 (rc=612) vérifiez le principal (dans l'AD)
    (par exemple, le cryptage DES comme vu plus haut.)
    
    
    toujours sur CWBSY1017 (rc=612) cherchez des messages CPD3E3F dans la log de QZSOSIGN
    
    avec minor code x'96C73A25' vous avez un décalage horaire trop important avec l'AD
    
    
    
  • Si vous recevez CWBSY1018
    
    EIM n'a pas trouvé d'association pour l'identifiant Windows, ou l'identifiant Windows est indiqué sur 2 identificateurs différents
    
    -> Vérifiez vos identificateurs EIM
    
    
    
    
  • Vérifiez bien vos enregistrements DNS
    
    Voyez si vous devez faire un lien entre le domaine DNS et le Domaine kerberos, si ce n'est pas le même nom
    
    
    Service d'authentification réseau/Propriété
    
    
  • Dans tous les cas, regardez la log des travaux QZSOSIGN, qui s'occupent de la phase d'authentification coté IBM i, aussi QDIRSRV (LDAP)
    
      Sur une connexion 5250, regardez le travail QTVDEVICE dans QSYSWRK
    
      Sur une authentitication Netserver, regardez QZLSSERVER dans QSERVER
    
    
    • vous devriez trouver des messages CPD3E3F qui peuvent vous aider.
      
      
      • X'96C73A20' Kerberos ticket is expired.
      • X'96C73A25' Client and server clocks are not synchronized or authenticator is expired.
        
        
        
  • Vous pouvez aussi exporter ces variables dans un fichier envvar de la home directory de l'utilisateur ayant un problème :
    
    
    • _EUV_SVC_MSG_LOGGING=STDOUT_LOGGING
    • _EUV_SVC_MSG_LEVEL=VERBOSE
    • _EUV_SVC_STDOUT_FILENAME=/home/<USERDIR>/trace.txt
    • _EUV_SVC_DBG_MSG_LOGGING=1
    • _EUV_SVC_DBG_TRACE=1
    • _EUV_SVC_DBG=*.9

   

  • L'utilitaire KerbTray (disponible sur le site Microsoft.com) permet de voir les tickets Kerberos
    

    
        

  •  Enfin, cette page de la Knowledge base IBM, donne quelques pistes sur la résolutions des problèmes
    
    

Exemple de mise en place :

• Création d'un Utilisateur dans l'AD : userwin
• Création d'un utilisateur OS/400 : useras
  
  
• Connexion au contrôleur de domaine EIM (via system i navigator)
  
  
  
• Définition d'un ID EIM (ici volontairement différent) : "user"
  
  
  
• Puis association des deux profils
  
  
  
  
  Trois tests pour valider cette association en étant connecté sous Windows avec USERWIN.
  
  
  
• Accès aux répertoires partagés par Netserver
  
  
  • Vérifions le paramétrage Netserver (Authentification réseau)
    
    
    
  • Suite à un accès "userwin" regardons les sessions Netserver actives
    
    L'utilisateur est bien noté USERWIN (alors qu'il n'existe pas sur le system i)
    
    La log du travail sur le serveur indique bien USERAS.
    
    
    
• Accès depuis une application de Client Access Windows (ici System i navigator)
  
  
  puis
  

• Ouverture d'une session 5250 (même paramétrage de la connexion)
  
  
  
• Le saut de SIGNON est automatique
  
  
  
• pourtant voici ce qu'affiche DSPJOB
  
  
  
  
  
  
• Paramètre LCLPWDMGT sur le profil ?
  
  
  • *YES
    
    Le profil conserve son mot passe. Sur une session 5250, il peut clore sa session et se resigner avec mot de passe
    
    - il doit mémoriser deux mots de passe (Windows et IBM i), qui peuvent être différents.
    
    
    
  • *NO
    
    Le profil n'a plus de mot de passe IBM i, il ne peut rentrer qu'avec un ticket Kerberos :
     S'il clôt sa session, il doit fermer la fenêtre de l'émulateur et la relancer pour activer Kerberos
    
    - il n'a qu'un mot de passe à mémoriser
    
    Attention aux profils spéciaux (ftp, connexion jdbc, etc...)
    

Cas particulier, vous avez deux domaines Windows

(dans nos exemples DOMAINENT et DOMAINEW8, lors d'un passage à Windows 2008)

Vous devez :

• créer une relation d'approbation entre les deux domaines (l'administrateur Windows sait faire cela)
  
  
• Définissez le deuxième domaine en tant que domaine sécurisé (service d'authentification réseau / Domaines / Propriété)
  
  
  
  
• Définissez un nouveau registre utilisateur de type Système dans EIM
  
  
  Définissez le de type Kerberos (KDC)
  
  
  
  
• Associez le en tant que SOURCE aux utilisateurs pouvant venir de ce domaine
  

Autre cas, Deux machines IBM i

L'une des deux doit être définie comme nous venons de le voir plus haut.

Pour l'autre (I5TEST dans nos exemples) :

• Configurez le service d'authentification réseau dans la même domaine
  
  
  
  
  
• Lancez le .bat généré sur l'AD , cela doit générer de nouvelles entrées
  
  
  Attention, posez vous les mêmes questions, quant au niveau de cryptage supporté, que sur la machine principale
  
  
• testez avec kinit
  
  
  
  
  
• EIM
  
  Lancez l'assistant
  
  
  Indiquez votre machine principale comme Domaine EIM
  
  
  La connexion au serveur LDAP correspondant :
  
  
  
  L'assistant vous affiche les informations rencontrées
  
  
  Confirmez les valeurs proposées
  
  
  
  Terminez l'assistant
  
  

• Registres utilisateurs
  
  
  • Indiquez les deux registres serveurs en tant que cible
    
    

Cette configuration peut aussi être utilisée pour passer d'un système à l'autre, particulièrement pour :

• DDM/DRDA
• QNTC
  
  
  Dans tous les cas vous devez vérifier les comptes krbsvr400 (pour les deux systèmes) dans l'AD
  
  et cocher l'option "le compte est approuvé pour délégation"
     (Account is trusted for delegation en Anglais)
  
  
  
  
• DDM/DRDA
  
  
   Voyez le paramétrage de DRDA
  
  En résumé :
  
   Sous SQL vous pouvez saisir profil/mot de passe lors du CONNECT TO.
  
   Si vous n'en saisissez pas (nom en 3 parties ou DDM), le client cherche une entrée
  (ADDSVRAUTE)  dans la liste des autorisations serveur, pour le profil en cours.
  
   S'il n'y pas d'entrée avec mot de passe,  essai de connexion avec kerberos (EIM).
  
    si la config. kerberos n'est pas faite (ou pas valide) vous aurez
      CPF9190 (puis SQ30082 si vous êtes sous SQL)
  
  ..........................................................................
  :Connexion à la base de données démarrée sur TCP/IP ou sur socket locale.:
  :Network Authentication Service error X'00070000' occurred.              :
  :Connexion socket TCP/IP ou locale à la base de données arrêtée.         :
  :Tentative de connexion DRDA/DDM TCP/IP non autorisée.        <- CPF9190 :
  :Echec d'autorisation lors de tentative de connexion à base de données   :
  :  répartie.                                                             :
  :........................................................................:
  
  
  
  
• QNTC
  
  Kerberos ne sera utilisé que si le profil a la valeur *NO au paramètre LCLPWDMGT
  (attention cela enlève le mot de passe de l'utilisateur)
  
  Si le profil a un mot de passe, c'est le mot de passe qui sera transmis, malgrès la configuration EIM.
  
  
  
• DB2 Web Query
  
  Utilisez la commande CFGWQSSO (SF99647 level 7)
  
  
  
• Apache, ajoutez les directives :
  

  <Directory /> Order Deny,Allow Deny From all Require valid-user PasswdFile %%KERBEROS%% UserID %%CLIENT%% AuthType Kerberos </Directory>

  
  
  
• Pas de solution de SSO avant la version 7.2, entre systèmes IBMi, pour TELNET et FTP. (voyez plutôt SSH et SFTP)
  

La version 7.2 propose d'utiliser aussi kerberos pour connecter deux IBM i en TELNET et FTP

• TELNET
  
  Si vous êtes entré sur AS400 avec un ticket (en kerberos, donc) , lancez simplement
  
  TELNET Itest.volubis.intra RMTUSR(*KERBEROS)
  
  
• si le ticket a expiré (session 5250 ouverte depuis longtemps) renouvelez le :
  
  
  • sous QSH
    
     kinit votre_nom
     tapez votre mot de passe windows
    
    
  • en mode commande
    
    ADDKRBTKT PRINCIPAL(votre_nom) PASSWORD(votre-motdepasse_windows)
    
    
• Si vous avez quand même l'écran de SIGNON, pensez à mettre la val. système QRMTSIGN à *SAMEPRF
  
  
  
  
• FTP
  
  Vous devez au préalable enregistrer un pseudo utilisateur de type service sur l'AD, par
  
  NET USER itest_12_ftp XXXXX /ADD /workstations:none /DOMAIN (DSADD pour windows 2003/2008)
  KTPASS -MAPUSER itest_12_ftp -princ FTP/itest.volubis.intra@DOMAINENT.VOLUBIS.INTRA -pass XXXXX -mapOp set
  
  
  N'oubliez pas d'approuver les comptes pour délégation !
  
  
  La dernière version de Navigator for I propose la configuration FTP coté IBM i
  
  
  
  
  
  Si vous ne passez pas par cet assistant, vous devez passer l'une des deux commandes :
  
  
  • sous QSH
    
     keytab add ftp/itest@DOMAINENT.VOLUBIS.INTRA -p motdepasse
     keytab add ftp/itest.volubis.intra@DOMAINENT.VOLUBIS.INTRA -p motdepasse
    
    
  • en mode commande
    
     ADDKRBKTE PRINCIPAL('ftp/itest@DOMAINENT.VOLUBIS.INTRA') PASSWORD(motdepasse)
     ADDKRBKTE PRINCIPAL('ftp/itest.volubis.intra@DOMAINENT.VOLUBIS.INTRA') PASSWORD(motdepasse)
    
    
    
    
• cette configuration étant faite (sur les 2 systèmes) , connectez vous par :
  
  FTP RMTSYS(itest.volubis.intra) SECCNN(*KERBEROS)
  
  
  

Sauvegardes :

• les Bibliothèques LDAP : QUSRDIRDB, QUSRDIRCL, si vous avez demandé l'historisation des changements.
  
  
• IFS : Répertoires
  • /QIBM/UserData/OS400/DirSrv (LDAP)
  • /QIBM/UserData/OS400/NetworkAuthentication (EIM)
    
    
• Divers : QUSRDIRCF/QGLDCFG (*USRSPC) et QUSRDIRCF/QGLDVLDL (*VLDL), quand vous modifiez la config.
  (sur les versions précédentes ces objets étaient dans QUSRSYS)
  
  
  

Vous pouvez répliquer les deux bibliothèques et les deux branches de l'IFS (arborescence incluse) sur une machine de backup
  (LDAP sera démarré, uniquement en cas de bascule, sur la machine de backup)

Dans le cas d'une config. dans l'ASP de base :

-> Sauvegardez/restaurez les bibliothèques et les répertoires "à la main" (par exemple sauvegarde dans un SAVF d'une bibliothèque de l'iASP),
ou bien voyez la réplication de serveur LDAP à serveur LDAP en suivant ce cours

   (basé sur http://www-01.ibm.com/support/docview.wss?uid=nas1618398daccf03cf3862575d6006c3ce6 )

Copyright © 2009/2017 VOLUBIS