Client Access Express et EIM

 Client Access EXPRESS, Single Signon

Client access express V5R20 propose un Single Signon avec Kerberos et EIM

KERBEROS est un protocole d'authentification, qui utilise les concepts suivants :

Ticket

Données encryptées (basé sur un système de clés partagées) prouvant qu'un utilisateur est authentifié par un serveur habilité.

il existe deux types de tickets :

TGT ou Ticket Granting Ticket, ticket prouvant l'authentification de l'utilisateur
TS ou Ticket service, ticket (basé sur le TGT) prouvant le droit d'utiliser un service particulier

KDC ou Key Distribution Center

Serveur habilité à livrer des tickets (TGT ou TS) pour un Domaine, souvent Windows 2000 avec Active Directory, sinon serveur Unix.
realm ou Domaine

Domaine adminsitratif d'autorité d'un KDC, par tradition le realm est donné en majuscules.
chaque élément du DOMAINE (stations, serveurs) doit avoir un nom unique nommé Principal noté nom-de-machine@DOMAINE-ou-REALM

EIM est une architecture et un jeu d'API d'origine IBM complétant Kerberos dans la mise en place du SSO (Single SignOn)
Elle permet d'établir une relation entre une personne physique (identitifant EIM) et l'ID (le profil) qui identifie cette personne sur chaque serveur. Cette correspondance est enregistrée dans le serveur LDAP de l'OS/400.

Mise en place :

Vérifiez que vous avez installé les logiciels suivants

i5/OS Host Servers (5722-SS1 Option 12)
PASE (5722 Option 33)
QSHELL (5722 option 30)
Cryptogaphic Access Provider (5722-AC3 jusqu'en V5R30, à partir de la V5R40 voyez plutôt ce cours)
les derniers correctifs de Client Access

1/ Configuration d'Active Directory sur votre serveur WINDOWS 2000.

Vérifiez que vous avez bien configuré Active Directory et que le service Kerberos est actif.
Vérifiez que vous possédez les outils liés à kerberos, en recherchant un exécutable nommé "ktpass"

Si ce n'est pas le cas, installez les outils livrés sur le CDROM de WIndows sous "votre-cdrom"\support\tools directory

Il faut alors créér un compte pour votre AS/400

	Indiquez, ici, le nom de votre machine remarquez le domaine Active Directory [domaine2000.volubis.intra] qui est notre realm .
	précisez ici, que le mot de passe n'expire jamais, puisqu'il s'agit d'un utilisateur fictif

passez ensuite la commande ktpass avec les paramètres suivants :

-princ krbsvr400/la nom qualifié de votre machine@REALM

-> vérifiez que le nom qualifé correspond bien à ce vous avez mis sous CFGTCP/ option12 et dans vos DNS
(ping et nslookup, depuis un poste, peuvent vous aider à le vérifier)
-> mettez le realm en MAJUSCULES
-mapuser l'id que vous venez de créer
-pass le mot de passe que vous lui avez associé

-mapOp (la lettre O majuscule) demande un écrasement si cette association existe déja.

C:\>ktpass -princ krbsvr400/as400.volubis.intra@DOMAINE2000.VOLUBIS.INTRA 
          -mapuser  as400 -pass xxxx -mapOp set

Les caractéristiques de cet utilisateur doivent maintenant vous être affichées comme cela

2/ Paramétrage de votre AS/400, le paramétrage se fait depuis Iseries Navigator, sous Sécurité/Service d'authentification réseau

prenez l'option configuration
(reconfiguration si vous l'avez déja fait)

il s'agit d'un assistant

Commencez par indiquer votre REALM

puis votre KDC (indiquez le nom de votre serveur Active directory, tel que connu de votre serveur DNS)

choisissez les services qui utiliserons Kerberos :

Authentification kerberos représente les principaux services (client access, lien entre deux AS/400)
LDAP, pour vous connecter au serveur LDAP avec un ticket Kerberos (pas de EIM) possible
Netserver pour utiliser un répertoire partagé sous l'OS/400 (kerberos et EIM)

renseignez ensuite cette fenêtre avec le mot de passe saisi sous Active Directory

ATTENTION

Vérifiez ici le nom de principal affiché : cela doit être le nom entré avec ktpass. Si ce n'est pas le cas.

regardez le contenu de votre fichier host (celui du PC sur lequel vous utiliser opnav.).S'il contient un entrée pour l'adresse ip de votre AS/400, c'est ce nom qui est utilisé (c'est le cas si vous avez installé WDS Client)
vériifez votre config DNS.

Il faut que le nom ici, soit composé avec le nom entré sous CFGTCP/Option 12 et soit celui utilisé avec ktpass.

Vérifiez vos paramètres et validez

cela doit vous afficher un domaine (ou realm) dans la liste des domaines sous Iseries Navigator

pour tester votre configuration, il vous faut le Shell interpreter (option 30 de 5722SS1), que vous lancez par STRQSH

commencez par regarder le contenu du fichier de configuration par keytab list

puis initialisez une session kerberos par kinit -k krbsvr400/votre-nom-de-principal

vous devez recevoir le prompt ( $ ) sans message

Si vous rencontrez un problème, ici, vérifiez le nom de principal pour votre AS/400 dans Active Directory, modifié par ktpass, vous devez voir absolument krbsrv400/as400.volubis.intra@DOMAINE2000.VOLUBIS.INTRA
(Windows affiche le realm en minuscules, ce n'est pas un problème), vérifiez aussi le mot de passe.

et enfin, inspectez les tickets recus par l'AS/400 (le cache) par klist

Nous avons terminé la configuration kerberos, passons à EIM.

3/ Configurer EIM

Nous supposons le serveur LDAP configuré et le mot de passe administrateur connu.

Là aussi, la configuration se fait sous Iseries Navigator.

Prenez configuration
(reconfiguration si vous l'avez déjà fait)

La documentation vous conseille de créer un domaine LDAP de toutes pièces (même si vous en avez déja un)

Nommez le DOMAINE

placez le sous la racine (n'indiquez pas de Domaine parent)

connectez vous au serveur LDAP en indiquant le nom distinctif à utiliser et son mot de passe.

L'option Vérification, permet de vérifier votre saisie

Définissez ensuite les deux premiers registres (systèmes) dont nous aurons besoin.

le nom qualifié de votre AS/400, en fonction du nom de principal noté plus haut
le nom de realm (en majuscules)

puis décochez la case qui demande de tenir compte de la casse (cela complique la résolution de problèmes).

paramétrez ensuite avec quel utilisateur les fonctions logicielles utilisant EIM doivent se connecter au serveur LDAP

Enfin, confirmez et sauvegardez.

vous devez voir votre domaine EIM sous cette forme

Si vous ne le voyez pas , ajoutez le par

Ensuite, en cliquant sur gestion de domaines, vous devrez vous signer au serveur LDAP,

et, vous aurez alors, accès à deux options :

Registres utilisateur, contenant les définitions des systèmes (comme le nom ne l'indique PAS)

Identificateurs , vous permettant de configurer vos utilisateurs devant utiliser le Single Sigon
(par Nouvel Identificateur )

4/ Ajoutez chaque utiltisateur EIM, en indiquant son identifiant logique (prenez un nom "objectif")

puis revenez sur la définition de cet ID

et faites des associations : "cette personne utilise ce profil sur cette machine (registre) "

sur le registre OS/400, indiquez
- son profil utilisateur 400
- une association de type cible (on cherche à entrer)

sur le registre Active Directoty, indiquez
- son nom Active Directory (son profil Windows)
- une association source (c'est l'origine)

cliquez sur survol, pour retrouver le registre adéquat

confirmer ce couple, par OK.

5/ Configurer Iseries Access comme ceci :

lancez Iseries navigator
cliquez sur le nom de votre système (bouton droit)
Choisissez l'option de connexion Kerberos
- Vérifiez !
  
  Si vous recevez cette erreur :
  
  Il y a une entrée pour l'adresse IP de l'AS/400 dans votre fichier hosts autre que as400.volubis.intra (dans nos exemples) Cela est possible particulièrement si vous avez installé WDS client qui modifie votre fichier hosts (rappel il se trouve dans /windows/system32/driver/etc).
  
  Si ce n'est pas le cas, vérifiez votre serveur DNS
  
  Dans tous les cas, regardez la log des travaux QZSOSIGN, qui s'occupent de la phase d'authentification coté OS/400