IBM i: Netzwerkauthentifizierungsservice · PDF file IBM Confidential IBM Confidential IBM...

Click here to load reader

  • date post

    19-Oct-2020
  • Category

    Documents

  • view

    5
  • download

    0

Embed Size (px)

Transcript of IBM i: Netzwerkauthentifizierungsservice · PDF file IBM Confidential IBM Confidential IBM...

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

    IBM i Version 7.2

    Sicherheit Netzwerkauthentifizierungsservice

    ���

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

    IBM i Version 7.2

    Sicherheit Netzwerkauthentifizierungsservice

    ���

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

    Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter „Bemerkungen” auf Seite 135 gelesen werden.

    Diese Ausgabe bezieht sich auf IBM i 7.2 (Produktnummer 5770-SS1) und alle nachfolgenden Releases und Modifi- kationen, bis dieser Hinweis in einer Neuausgabe geändert wird. Diese Version kann nicht auf allen RISC-Modellen (RISC = Reduced Instruction Set Computer) ausgeführt werden. Auf CICS-Modellen ist sie nicht ausführbar.

    Dieses Dokument kann Verweise auf den lizenzierten internen Code enthalten. Lizenzierter interner Code ist Ma- schinencode und wird unter den Bedingungen der IBM Lizenzvereinbarung für Maschinencode lizenziert.

    Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM i Version 7.2, Security, Network authentication service, herausgegeben von International Business Machines Corporation, USA

    © Copyright International Business Machines Corporation 1998, 2013

    Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.

    Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und ver- fügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.

    Änderung des Textes bleibt vorbehalten.

    Herausgegeben von: TSC Germany Kst. 2877 April 2014

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

    Inhaltsverzeichnis

    Netzwerkauthentifizierungsservice . . . 1 PDF-Datei für den Netzwerkauthentifizierungsservice 1 Konzepte für Netzwerkauthentifizierungsservice . . 2

    Kerberos-Konzepte . . . . . . . . . . . 2 Funktionsweise des Netzwerkauthentifizierungs- service . . . . . . . . . . . . . . . 3 Protokolle für Netzwerkauthentifizierungsservice 7 Umgebungsvariablen für Netzwerkauthentifizie- rungsservice . . . . . . . . . . . . . 9

    Szenarios: Netzwerkauthentifizierungsservice in ei- nem Kerberos-Netzwerk verwenden . . . . . . 13

    Szenario: Kerberos-Server in PASE für i konfigu- rieren . . . . . . . . . . . . . . . 13

    Planungsarbeitsblätter ausfüllen . . . . . 15 Kerberos-Server in IBM i PASE konfigurieren 17 Verschlüsselungswerte auf dem IBM i PASE- Kerberos-Server ändern . . . . . . . . 18 Kerberos-Server in PASE für i stoppen und er- neut starten . . . . . . . . . . . . 18 Host-Principals für Windows-Workstations er- stellen . . . . . . . . . . . . . . 18 Benutzer-Principals auf dem Kerberos-Server erstellen . . . . . . . . . . . . . 19 Service-Principal von System A zum Kerberos- Server hinzufügen . . . . . . . . . . 19 Windows-Workstations konfigurieren . . . . 19 Netzwerkauthentifizierungsservice konfigurie- ren . . . . . . . . . . . . . . . 20 Ausgangsverzeichnis für Benutzer auf System A erstellen . . . . . . . . . . . . . 21 Netzwerkauthentifizierungsservice testen . . 21

    Szenario: Netzwerkauthentifizierungsservice kon- figurieren . . . . . . . . . . . . . . 22

    Planungsarbeitsblätter ausfüllen . . . . . 24 Netzwerkauthentifizierungsservice auf System A konfigurieren . . . . . . . . . . . 25 Principal von System A zum Kerberos-Server hinzufügen . . . . . . . . . . . . 26 Ausgangsverzeichnis für Benutzer auf System A erstellen . . . . . . . . . . . . . 27 Netzwerkauthentifizierungsservice auf System A testen . . . . . . . . . . . . . 27

    Szenario: Cross-Realm-Vertrauensbeziehung kon- figurieren . . . . . . . . . . . . . . 28

    Planungsarbeitsblätter ausfüllen . . . . . 31 Ordnungsgemäßen Start des Kerberos-Servers in IBM i PASE auf System B überprüfen . . . 32 Principal für Cross-Realm-Vertrauensbezie- hung auf dem IBM i PASE-Kerberos-Server er- stellen . . . . . . . . . . . . . . 33 Verschlüsselungswerte auf dem IBM i PASE- Kerberos-Server ändern . . . . . . . . 34 Windows-Server zur Anerkennung von SHIP- DEPT.MYCO.COM konfigurieren . . . . . 34 Realm SHIPDEPT.MYCO.COM zu System A hinzufügen . . . . . . . . . . . . 34

    Szenario: Konfiguration des Netzwerkauthentifi- zierungsservice an mehrere Systeme weitergeben . 35

    Planungsarbeitsblätter ausfüllen . . . . . 39 Systemverwaltungsgruppe erstellen . . . . 40 Systemeinstellungen vom Modellsystem (Sys- tem A) an System B und System C weiterge- ben . . . . . . . . . . . . . . . 41 Principals für Endpunktsysteme zur Win- dows-Domäne hinzufügen . . . . . . . 42

    Szenario: Kerberos-Authentifizierung zwischen Management Central-Servern verwenden . . . 43

    Planungsarbeitsblätter ausfüllen . . . . . 45 Zentrales System zur Verwendung der Kerbe- ros-Authentifizierung konfigurieren . . . . 46 Systemverwaltungsgruppe MyCo2 erstellen . 47 Systemwerte-Inventar erfassen . . . . . . 47 Kerberos-Einstellungen im System i Navigator vergleichen und aktualisieren . . . . . . 48 Management Central-Server auf dem zentralen System und den Zielsystemen erneut starten . 48 Kerberos-Service-Principal für jeden Endpunkt zur Datei für anerkannte Gruppen hinzufügen 48 Hinzufügung der Kerberos-Principals zur Da- tei für anerkannte Gruppen überprüfen . . . 49 Gesicherte Verbindungen für das zentrale Sys- tem zulassen . . . . . . . . . . . . 49 Schritte 4 bis 6 für Zielsysteme wiederholen 50 Authentifizierung auf den Endpunktsystemen testen . . . . . . . . . . . . . . 50

    Szenario: Einzelanmeldung für IBM i aktivieren 51 Planungsarbeitsblätter ausfüllen . . . . . 56 Einzelanmeldungsbasiskonfiguration für Sys- tem A erstellen . . . . . . . . . . . 61 System B zur Nutzung der EIM-Domäne und für den Netzwerkauthentifizierungsservice konfigurieren . . . . . . . . . . . . 63 Beide IBM i-Service-Principals zum Kerberos- Server hinzufügen . . . . . . . . . . 65 Benutzerprofile auf System A und System B erstellen . . . . . . . . . . . . . 66 Ausgangsverzeichnisse auf System A und Sys- tem B erstellen . . . . . . . . . . . 66 Netzwerkauthentifizierungsservice auf System A und System B testen . . . . . . . . 66 EIM-Kennungen für die beiden Administrato- ren John Day und Sharon Jones erstellen . . 67 Kennungszuordnungen für John Day erstellen 67 Kennungszuordnungen für Sharon Jones er- stellen . . . . . . . . . . . . . . 69 Standardrichtlinienzuordnungen für Register erstellen . . . . . . . . . . . . . 70 Register für die Teilnahme an Suchoperationen und die Verwendung von Richtlinienzuord- nungen aktivieren . . . . . . . . . . 71 EIM-Identitätsabgleiche testen . . . . . . 72

    iii

  • IBM Confidential IBM Confidential IBM Confidential IBM Confidential

    IB M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l I

    B M

    C on

    fid en

    tia l

    IBM i Access Client Solutions-Anwendungen für den Einsatz der Kerberos-Authentifizie- rung konfigurieren . . . . . . . . . . 75 Netzwerkauthentifizierungsservice und EIM- Konfiguration überprüfen . . . . . . . 75 Hinweise zur Konfigurationsnachbereitung . . 76

    Netzwerkauthentifizierungsservice planen . . . . 77 Kerberos-Server planen . . . . . . . . . 78 Realms planen . . . . . . . . . . . . 79 Principal-Namen planen . . . . . . . . . 81 Hinweise zur Auflösung von Hostnamen . . . 83

    Hostnamen auflösen . . . . . . . . . 86 Planungsarbeitsblätter für Netzwerkauthentifizie- rungsservice . . . . . . . . . . . . . 88

    Netzwerkauthentifizierungsservice konfigurieren . . 91 Kerberos-Server in PASE für i konfigurieren . . 92

    Verschlüsselungswerte auf dem Kerberos-Ser- ver ändern . . . . . . . . . . . . 93 Kerberos-Server stoppen und erneut starten 93 Host-, Benutzer- und Service-Principals erstel- len . . . . . . . . . . . . . . . 93 Windows-Workstations konfigurieren . . . . 94 Sekundären Kerberos-Server konfigurieren . . 95

    Netzwerkauthentifizierungsservice konfigurieren 97 IBM i-Principals zum Kerberos-Server hinzu- fügen . . . . . . . . . . . . . . 98 Ausgangsverzeichnis erstellen . . . . . . 101 Konfiguratio