Configurer Kerberos

Realm Name et identifier l’hôte qui exécute le service Kerberos Key Distribution Center (KDC) (en principe un serveur Windows hébergeant Active Directory). Ensuite vous devez savoir quels services i5/OS vous voulez valider pour SSO. Je commence toujours par ne configurer que l’OS/400 Kerberos Authentication (figure 1). En effet, cette configuration validera en définitive l’authentification Kerberos pour Telnet, le serveur sign-on, et les fonctions System i Navigator.

Bien que l’on puisse valider l’authentification Kerberos pour NetServer en même temps, je le fais toujours en phase 2 d’un projet SSO parce que NetServer est très pointilleux et que la manière de le déployer exige une très bonne planification. Commençons par rendre Kerberos opérationnel pour Telnet.

Si l’assistant NAS rencontre des problèmes de résolution de nom d’hôte, il vous en informe et vous permet de sortir en douceur et de les corriger avec d’exécuter à nouveau le wizard. Si le wizard aboutit normalement, il crée un fichier Windows PC .bat qui doit être exécuté sur le Windows Active Directory Server. Ce fichier .bat crée le ou les compte(s) principaux de service Kerberos dans Active Directory.

Après avoir couvert ces étapes, allez à l’écran vert, entrez Qshell (QSH) et visualisez les Kerberos Keytab Entries en utilisant la commande keytab list (figure 2). Ensuite, utilisez la commande kinit pour tenter d’acquérir un ticket Kerberos. Si vous recevez un message d’erreur, soumettez-le à Google. Cela peut sembler banal, mais j’ai constaté qu’en soumettant à Google des codes d’erreur, on obtient des renseignements utiles. Si vous n’obtenez pas de message d’erreur, le ticket a bien été reçu, Kerberos fonctionne et … on a bien le droit de pavoiser.