Pour pouvoir utiliser Easycom avec l’EIM, il est nécessaire de réaliser les étapes suivantes :
1. Installer et configurer EIM sur l’IBM i et le contrôleur de domaine
2. Autoriser l’accès du fichier keytab à l’utilisateur QTCP. QTCP est l’utilisateur sous lequel tourne le travail EASYCOMD.
CHGAUT OBJ('/QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab') USER(QTCP) DTAAUT(*R)
3. Activer l’authentification Kerberos :
CFGEACAUTH LIB(EASYCOM) KERBAUTH(*ON)
Remarque : Il est possible d’utiliser l’authentification par certificat, ceux-ci étant référencés dans la base données EIM. Dans ce cas il n’est pas nécessaire d’activer l’authentification Kerberos.
4. Configurer Easycom pour utiliser EIM sur le serveur :
CFGEACEIM LIB(EASYCOM) ACTIVE(*YES) EIM_LDAPU(administrator) EIM_LDAPPW(xxx)
Cela va permettre à Easycom de se connecter au système LDAP afin de pourvoir connaître l’utilisateur AS/400 correspondant au ticket Kerberos.
5. Définir (optionnel) l’exit program « EACLOG002 »
6. Mettre à jour les applications pour utiliser la valeur spéciale « *KERBAUTH » comme login.
L’implémentation de l’EIM côté client est très simple. Il suffit de spécifier « *KERBAUTH » comme nom d’utilisateur, en disposant de versions récentes des DLL clientes.
Il existe des codes d’erreur TCP/IP spéciaux (négatifs), pour les différents types d’erreurs Kerberos (ticket expiré, …), accompagnés de textes d’erreurs (provenant de l’IBM i ou du client).
Un moyen simple de tester la configuration sans modification des programmes : saisir *KERBAUTH comme nom d’utilisateur et laisser le mot de passe à blanc. Vous pourrez ensuite modifier les programmes pour y introduire cette valeur spaciale.
Voir aussi