Pour pouvoir utiliser Easycom avec l’EIM, il est nécessaire de réaliser les étapes suivantes :
1. Installer et configurer EIM sur l’IBM i et le contrôleur de domaine
2. Autoriser l’accès du fichier keytab à l’utilisateur QTCP. QTCP est l’utilisateur sous lequel tourne le travail EASYCOMD.
CHGAUT OBJ('/QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab') USER(QTCP) DTAAUT(*R)
3. Activer l’authentification Kerberos :
CFGEACAUTH LIB(EASYCOM) KERBAUTH(*ON)
Remarque: Il est possible d’utiliser l’authentification par certificat, ceux-ci étant référencés dans la base données EIM. Dans ce cas il n’est pas nécessaire d’activer l’authentification Kerberos.
4. Configurer Easycom pour utiliser EIM sur le serveur, en utilisant la commande CFGEACEIM
Cela va permettre à Easycom de se connecter au système LDAP afin de pourvoir connaître l’utilisateur AS/400 correspondant au ticket Kerberos.
5. Définir (optionnel) l’exit program « EACLOG002 »
6. Mettre à jour les applications pour utiliser la valeur spéciale « *KERBAUTH » comme login.
L’implémentation de l’EIM côté client est très simple. Il suffit de spécifier « *KERBAUTH » comme nom d’utilisateur, en disposant de versions récentes des DLL clientes.
Il existe des codes d’erreur TCP/IP spéciaux (négatifs), pour les différents types d’erreurs Kerberos (ticket expiré, …), accompagnés de textes d’erreurs (provenant de l’IBM i ou du client).
Un moyen simple de tester la configuration sans modification des programmes : saisir *KERBAUTH comme nom d’utilisateur et laisser le mot de passe à blanc. Vous pourrez ensuite modifier les programmes pour y introduire cette valeur spaciale.
Voir aussi