Les noms de domaine doivent correspondre
Le nom de domaine qui est configuré au niveau d’iSeries navigator doit correspondre au nom de domaine de la machine.
Dans le cas contraire, l’erreur suivante sera rencontrée au niveau client "the specified target is not known or inaccessible" (avec le code d’erreur tcp/ip -14)
Voici comment vérifier :
Etape 1 : pour connaître quel est le nom de domaines de la machine, lancez un invite de commandes sur la machine cliente :
Tapez « nslookup », et entrez ensuite le nom de l’IBM i. Par exemple :
Default server : domain_controller.domain-name.com
Address: 194.206.160.4
> my_iseries
Server : domain_controller.domain-name.com
Address: 194.206.160.4
Name : my_iseries.domain-name.com
Address: 194.206.160.112
Donc ici le nom de domaine correct est domain-name.com
Etape 2 : vérifier que le ‘keytab’ exporté utilise le nom de domaine correct.
Pour cela, utilisez iSeries Navigator, et se positionner dans « sécurité », puis « Service d’authentification réseau ». Ensuite par click-droit sélectionner l’entrée de menu contextuel « Manage keytab ». Cliquer ensuite sur le bouton « Details ».
Cela doit afficher une ligne avec :
Principal Type: i5/OS
Principal Name: krbsvr400/my_iseries.domain-name.com@DOMAIN-NAME.COM
Où DOMAIN-NAME.COM est le « Realm » i5/OS
Si cela est incorrect, il est nécessaire de modifier la configuration et de réexporter le keytab, et/ou vérifier la configuration DNS, afin d’obtenir correspondance des noms de domaine.
b. Le cryptage DES droit être activé sur les comptes créés depuis le keytab.
Sinon, l’erreur suivante apparaît : "Encryption or checksum type is not supported."
Pour activer ce mode de cryptage, il faut ouvrir l’application « utilisateurs et ordinateurs Active Directory » sur le serveur sur lequel le keytab a été exporté. Sélectionner l’entrée « Users », et choisir l’utilisateur nommé comme :
my_iseries_1_krbsvr400
(Il peut y en avoir d’autres sous la même forme,
comme: my_iseries_2_krbsvr400, …)
Dans les propriétés de ce utilisateur, choisir « Compte », et cocher
« Utiliser les types de cryptage DES pour ce compte »
c. Erreur de connexion : "Not authorized to access key table".
Le fichier keytab doit être lisible depuis l’utilisateur IBM i qui est utilisé pour EASYCOMD, par défaut QTCP.
Il est nécessaire de connaître l’emplacement du fichier keytab. Pour cela, utiliser iSeries Navigator, et sélectionner « Sécurité », puis « Service d’authentification réseau ». Sur le menu contextuel, choisir « Manage keytab ». Suivre l’assistant jusqu’à la dernière étape (annuler ensuite). Le chemin du fichier keytab est afficher sur ce dernier écran d’assistant.
Cet emplacement par est généralement:
/QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab
Pour accorder les droits de lectures à QTCP, utiliser la commande suivante :
CHGAUT OBJ('/QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab') USER(QTCP) DTAAUT(*R)
d. L’horloge de toutes les machines impliquées doit être synchronisée
Si vous obtenez des erreurs telles que ‘ticket not yet valid’ ou bien ‘ticket is expired’, cela est probablement dû à une non correspondance des horloges.
Vérifiez les valeurs systèmes QTIMZON et QTIME à l’aide de la commande WRKSYSVAL, ainsi que les horloges du contrôleur de domaine, et des postes clients.
Voir aussi