ERserver iSeries Servicio de autenticación de red Versión 5 Release 3...
Página 4
Quinta Edición (agosto de 2005) Esta edición se aplica a la versión 5, release 3, modificación 0 de IBM Operating System/400 (número de producto 5722–SS1) y a todos los releases y modificaciones posteriores a menos que se indique lo contrario en nuevas ediciones.
DETERMINADO Y DE NO INFRACCIÓN RESPECTO AL PROGRAMA O AL SOPORTE TÉCNICO SI LO HUBIERE. IBM, LOS DESARROLLADORES DE PROGRAMAS O LOS SUMINISTRADORES NO SERÁN BAJO NINGUNA CIRCUNSTANCIA RESPONSABLES DE NINGUNO DE LOS EVENTOS SIGUIENTES, INCLUSO AUNQUE ESTUVIERAN INFORMADOS DE SU POSIBILIDAD: 1.
Página 9
Autenticación Kerberos de i5/OS, Servicios de directorio (LDAP), IBM HTTP Server para iSeries, o iSeries NetServer. Durante la configuración de la correlación de identidades de empresa (EIM), el asistente de EIM comprobará si el servicio de autenticación de red está...
Se ha facilitado un nuevo tema, Inicio de sesión único (SSO), que pretende ayudar a los administradores a configurar y utilizar el servicio de autenticación de red y la correlación de identidades de empresa (EIM) para crear un entorno de inicio de sesión único en la empresa. Cómo ver las novedades o los cambios realizados Para ayudarle a detectar los cambios técnicos que se han realizado en esta información, se utiliza: v La imagen...
Caso práctico: propagar la configuración del servicio de autenticación de red entre múltiples sistemas Aquí aprenderá a simplificar la configuración del servicio de autenticación de red mediante el asistente Sincronizar Funciones de iSeries Navigator. Caso práctico: utilizar la autenticación Kerberos entre servidores de Management Central Este caso práctico le enseñará...
Página 12
Detalles La siguiente figura ilustra el entorno de red de este caso práctico. iSeries A v Funciona a modo de servidor Kerberos (kdc1.myco.com), que también se conoce como centro de distribución de claves (KDC), en la red. v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: –...
En este caso práctico, hemos hecho las siguientes suposiciones para centrarnos en las tareas que implican configurar un servidor Kerberos en i5/OS PASE. 1. Se han verificado todos los requisitos del sistema, incluida la instalación del sistema operativo y el software.
Página 14
Tabla 1. Hoja de trabajo de planificación de prerrequisitos (continuación) Preguntas Respuestas ¿Tiene instalados los siguientes productos y opciones bajo licencia en el iSeries A? Sí v i5/OS Host Servers (5722-SS1 Opción 12) v i5/OS PASE (5722-SS1 Opción 33) v Qshell Interpreter (5722-SS1 Opción 30) v Cryptographic Access Provider (5722-AC3) v iSeries Access para Windows (5722-XE1) ¿Ha instalado Windows 2000 o Windows XP en todos los PC?
Página 15
¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer ¿Desea crear un archivo por lotes para automatizar la No aplicable adición de sujetos principales de servicio a Microsoft Active Directory? Servicio de autenticación de red...
Página 16
Tabla 3. Hoja de trabajo de planificación para configurar un servidor Kerberos en i5/OS PASE y para configurar el servicio de autenticación de red (continuación) Preguntas Respuestas ¿Cuál es el nombre de usuario por omisión del Nombre de usuario: admin/admin administrador de i5/OS PASE? Contraseña: secret ¿Qué...
Página 17
MYCO.COM es el nombre de reino). Este mandato actualiza el archivo krb5.config con el nombre de dominio y el reino del servidor Kerberos, crea la base de datos Kerberos en el sistema de archivos integrado y configura el servidor Kerberos en i5/OS PASE. Se le pedirá que añada las siguientes contraseñas: v Contraseña maestra de base de datos: pasepwd v Contraseña del sujeto principal admin/admin: secret...
1. En una interfaz basada en caracteres, especifique call QP2TERM en la línea de mandatos. Este mandato abre un entorno de shell interactivo que le permite trabajar con aplicaciones de i5/OS PASE. 2. En la línea de mandatos, escriba export PATH=$PATH:/usr/krb5/sbin. Este mandato señala hacia los scripts Kerberos que se necesitan para ejecutar los archivos ejecutables.
4. Inicie sesión con la contraseña de administrador. Por ejemplo, secret. 5. En el indicador de kadmin, escriba addprinc -pw iseriesa123 krbsvr400/iseriesa.myco.com. 6. Recibirá este mensaje: Sujeto principal "krbsvr400/iseriesa.myco.com@MYCO.COM" creado. 7. Escriba quit para salir de la interfaz kadmin y pulse F3 (Salir) para salir del entorno PASE. Ha añadido el sujeto principal de servicio de i5/OS al servidor Kerberos.
Página 20
v Sujeto principal de usuario Kerberos: jones@MYCO.COM v Nombre de usuario de Windows 2000: karenjones Ahora que ya ha configurado las estaciones de trabajo, debe configurar el servicio de autenticación de red utilizando el asistente adecuado. Paso 9: Configurar el servicio de autenticación de red Para configurar el servicio de autenticación de red, siga estos pasos: 1.
Nota: Antes de llevar a cabo esta prueba, asegúrese de que ha creado un directorio inicial (home) para su perfil de usuario i5/OS. Para probar la configuración del servicio de autenticación de red, siga estos pasos: 1. En una línea de mandatos del intérprete Qshell, escriba QSH para iniciar el intérprete Qshell. 2.
Página 22
Los objetivos de este caso práctico son los siguientes: v Permitir que el iSeries participe junto con un servidor Kerberos existente v Proporcionar nombres de sujeto principal y nombres de usuario para la red v Permitir que los usuarios de Kerberos cambien sus propias contraseñas en el servidor Kerberos Detalles La siguiente figura ilustra las características de MyCo en la red.
Servidor Windows 2000 v Funciona como servidor Kerberos en el reino MYCO.COM. v El nombre de sistema principal totalmente calificado del servidor Kerberos es kdc1.myco.com PC clientes v Ejecutan Windows 2000. v En el PC que se utiliza para administrar el servicio de autenticación de red se han instalado los siguientes productos: –...
Página 24
Tabla 4. Hoja de trabajo de prerrequisitos (continuación) Preguntas Respuestas ¿Tiene instalados los siguientes productos bajo licencia en el iSeries A? Sí v i5/OS Host Servers (5722-SS1 Opción 12) v Qshell Interpreter (5722-SS1 Opción 30) v iSeries Access para Windows (5722-XE1) v Cryptographic Access Provider (5722-AC3) ¿Ha instalado Windows 2000 en los PC? Sí...
Página 25
¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer ¿Qué contraseña utilizará para los sujetos principales de servicio (uno iseriesa123 o varios) de i5/OS? Nota: Todas y cada una de las contraseñas utilizadas en este caso...
Página 26
FTP en su PC. Se le pedirá el nombre de usuario y la contraseña de administrador. 2. En el indicador FTP, teclee lcd ″C:\Documents and Settings\All Users\Documents\IBM\Client Access″. Pulse Intro. Debe recibir el mensaje Directorio local es ahora C:\Documents and Settings\All Users\Documents\IBM\Client Access.
Página 27
d. (Opcional) Acceda a las propiedades de los usuarios de Active Directory. En la pestaña Cuenta, seleccione Cuenta de confianza para delegación. Nota: Este paso opcional permite que su sistema delegue, o reenvíe, las credenciales de un usuario a otros sistemas. Como resultado, el sujeto principal de servicio de i5/OS podrá acceder a los servicios en múltiples sistemas en nombre del usuario.
Caso práctico: configurar la confianza entre distintos reinos Situación Usted es administrador de la seguridad de una gran empresa de venta al por mayor. Se encarga de gestionar la seguridad de los sistemas que utilizan los empleados del departamento de recepción de pedidos y del departamento de envíos.
Página 29
Departamento de recepción de pedidos iSeries A v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS Host Servers (5722-SS1 Opción 12) – iSeries Access para Windows (5722-XE1) – Cryptographic Access Provider (5722-AC3) v Tiene configurado el servicio de autenticación de red para participar en el reino ORDEPT.MYCO.COM.
Página 30
Departamento de envíos iSeries B v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS PASE (5722 SS1 Opción 33) – Cryptographic Access Provider (5722-AC3) – iSeries Access para Windows (5722-XE1) v Tiene configurado un servidor Kerberos de i5/OS PASE cuyo reino es SHIPDEPT.MYCO.COM.
Prerrequisitos del iSeries B 1. Se han verificado todos los requisitos del sistema, incluida la instalación del sistema operativo y el software. Para verificar que se han instalado los programas bajo licencia necesarios, siga estos pasos: a. En iSeries Navigator, expanda su servidor iSeries → Configuración y servicio → Software → Productos instalados.
Página 32
Tabla 6. Hoja de trabajo de planificación de prerrequisitos (continuación) Preguntas Respuestas Tiene instalados los siguientes productos bajo licencia en el iSeries B: Sí v iSeries Access para Windows (5722-XE1) v Cryptographic Access Provider (5722-AC3) v i5/OS PASE (5722-SS1 Opción 33) ¿Ha instalado Windows 2000 en todos sus PC? Sí...
Página 33
Tabla 7. Hoja de trabajo para planificar la confianza entre distintos reinos (continuación) Hoja de trabajo para planificar la confianza entre Respuestas distintos reinos ¿Cuál es el nombre de usuario por omisión del Nombre de usuario: admin/admin administrador de i5/OS PASE? Contraseña: secret ¿Qué...
Página 34
> ps -ef | grep krb5 3. Si el servidor Kerberos no se ha iniciado, siga estos pasos: a. En la línea de mandatos, escriba export PATH=$PATH:/usr/krb5/sbin, y pulse Intro. b. Escriba start.krb5 y pulse Intro. Se visualizarán los siguientes resultados: >...
Página 35
1. En una interfaz basada en caracteres, escriba edtf ’/var/krb5/krb5kdc/kdc.conf’ para acceder al archivo kdc.conf. 2. Cambie las siguientes líneas del archivo kdc.conf: supported_enctypes = des3-cbc-sha1:normal des-cbc-md5:normal des-cbc-crc:normal kdc_supported_enctypes = des3-cbc-sha1:normal des-cbc-md5:normal des-cbc-crc:normal para que sean supported_enctypes = des-cbc-md5:normal kdc_supported_enctypes = des-cbc-md5:normal Ahora que ya ha cambiado los valores de cifrado en el servidor Kerberos, tendrá...
v KDC: iseriesb.shipdept.myco.com v Puerto: 88 4. Pulse Reinos para ver la lista de reinos en el panel de la derecha. Verifique el el reino SHIPDEPT.MYCO.COM figura en la lista. Ya ha concluido los pasos de configuración de una relación de confianza entre los reinos ORDEPT.MYCO.COM y SHIPDEPT.MYCO.COM.
Página 37
Detalles Los detalles de este caso práctico se muestran en el siguiente gráfico. iSeriesMC1 - Sistema central v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS Host Servers (5722-SS1 Opción 12) –...
Página 38
iSeries B - Sistema de punto final v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS Host Servers (5722-SS1 Opción 12) – iSeries Access para Windows (5722-XE1) – Cryptographic Access Provider (5722-AC3) v Uno de los sistemas de punto final de la propagación de la configuración del servicio de autenticación de red.
Página 39
a. En iSeries Navigator, expanda su servidor iSeries → Configuración y servicio → Software → Productos instalados. b. Ahora puede asegurarse de que se han instalado todos los programas bajo licencia necesarios. 2. Se ha llevado a cabo todo el proceso de planificación e instalación del hardware necesario. 3.
3. El protocolo TCP/IP y la seguridad básica del sistema se han configurado y probado en el servidor iSeries. 4. Se ha configurado la capa de sockets segura (SSL) para proteger la transmisión de datos entre estos servidores. Nota: Cuando propaga la configuración del servicio de autenticación de red entre servidores, la información confidencial (como las contraseñas) se envía por la red.
Página 41
PC del administrador? v ¿Está el subcomponente de seguridad de iSeries Navigator instalado en el PC del administrador? Sí Ha instalado el último paquete de servicio de IBM iSeries Access para Windows? Consulte iSeries Access para obtener el paquete de servicio más reciente.
Página 42
¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer ¿Qué nombres de sujeto principal de servicio tienen los krbsvr400/iseriesa.myco.com@MYCO.COM sistemas iSeries a los que desea propagar la configuración? krbsvr400/iseriesb.myco.com@MYCO.COM...
Página 43
¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer ¿Qué contraseña utilizará para los sujetos principales de servicio (uno iseriesd123 o varios) de i5/OS? Nota: Todas y cada una de las contraseñas utilizadas en este caso...
Página 44
4. En la página Sistema modelo, seleccione que el iSeries A es el sistema modelo y pulse Siguiente. El sistema modelo servirá de base para sincronizar la configuración del servicio de autenticación de red con los otros sistemas. 5. En la página Sistemas y grupos destino, seleccione Grupo de sistemas MyCo. Pulse Siguiente. 6.
Página 45
6. En la página Especificar información de contraseña, seleccione Sí para configurar el iSeries D para que señale hacia el servidor de contraseñas configurado para el reino por omisión.El servidor de contraseñas permite a los sujetos principales cambiar las contraseñas en el servidor Kerberos y ya está...
5. En el servidor Windows 2000, tiene que correlacionar la cuenta de usuario que acaba de crear con el sujeto principal de servicio de i5/OS utilizando el mandato ktpass. La herramienta ktpass se facilita en la carpeta Herramientas de servicio del CD de instalación de Windows 2000 Server.
Página 47
Detalles Los detalles de este caso práctico se muestran en el siguiente gráfico. iSeries A - Sistema modelo y central v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS Host Servers (5722-SS1 Opción 12) –...
Página 48
iSeries C - Sistema de punto final v Ejecuta i5/OS Versión 5 Release 3 (V5R3) y tiene instaladas las siguientes opciones y productos bajo licencia: – i5/OS Host Servers (5722-SS1 Opción 12) – iSeries Access para Windows (5722-XE1) – Cryptographic Access Provider (5722-AC3) v El sujeto principal de servicio de i5/OS, krbsvr400/iseriesc.myco.com@MYCO.COM, y la contraseña asociada se han añadido al archivo de tabla de claves.
Página 49
b. En la página General, verifique que hay una marca de selección en el recuadro Abrir automáticamente una ventana de estado de tarea al iniciarse una de mis tareas. 5. Este caso práctico se basa en el supuesto de que el servicio de autenticación de red se ha configurado en cada sistema utilizando el asistente Sincronizar Funciones de iSeries Navigator.Este asistente propaga la configuración del servicio de autenticación de red de un modelo sistema a múltiples sistemas destino.
PC del administrador? v ¿Está el subcomponente de seguridad de iSeries Navigator instalado en el PC del administrador? Sí Ha instalado el último paquete de servicio de IBM iSeries Access para Windows? Consulte iSeries Access para obtener el paquete de servicio más reciente.
Página 51
1. En iSeries Navigator, pulse Management Central (iSeriesA) con el botón derecho del ratón y seleccione Propiedades. 2. En la pestaña Seguridad, seleccione Utilizar autenticación Kerberos y establezca el nivel de autenticación en Añadir a grupo de confianza. 3. Seleccione No utilizar en el campo Correlación de identidades y pulse Aceptar. Este valor le permite habilitar o inhabilitar que los servidores de Management Central utilicen la correlación de identidades de empresa (EIM) con vistas a habilitar un entorno de inicio de sesión único (SSO) para los sistemas de punto final.
4. Por omisión, se visualiza un recuadro de diálogo que indica que se ha iniciado la tarea de recogida de inventario de sincronización de funciones. No obstante, si ha cambiado el valor por omisión, este recuadro de diálogo no se visualizará. Pulse Aceptar. 5.
Página 53
4. Repita los pasos 1-3 en los sistemas destino: iSeries B, iSeries C e iSeries D. Después de reiniciar el servidor de Management Central, debe configurar un archivo de grupos de confianza para todos los sistemas destino. Paso 7: Añadir el sujeto principal de servicio Kerberos al archivo de grupos de confianza de cada sistema de punto final Después de reiniciar todos los servidores de Management Central, debe añadir el sujeto principal de servicio Kerberos del sistema central al archivo de grupos de confianza de cada uno de los sistemas de...
Nota: Si la opción Editar está inhabilitada, tendrá que habilitarla siguiendo estos pasos: a. Pulse Sistema de archivos integrado con el botón derecho del ratón y seleccione Propiedades. b. En el recuadro de diálogo Propiedades del sistema de archivos integrado, seleccione Todos los archivos para Habilitar opciones de edición para: y pulse Aceptar.
v krbsvr400/iseriesa.myco.com@MYCO.COM v krbsvr400/iseriesb.myco.com@MYCO.COM v krbsvr400/iseriesc.myco.com@MYCO.COM v krbsvr400/iseriesd.myco.com@MYCO.COM Para verificar que la autenticación Kerberos funciona en los sistemas de punto final, lleve a cabo las tareas siguientes: Nota: Antes de llevar a cabo estas tareas, asegúrese de que ha creado un directorio inicial (home) para su perfil de usuario i5/OS.
Página 56
Como administrador de la red de su empresa, siempre está pendiente de descubrir nuevas maneras de mejorar la empresa, empezando por el departamento de recepción de pedidos. Sabe que la mayoría de sus empleados necesitan el mismo tipo de autoridad para acceder a la aplicación que les permite consultar el estado del inventario.
Página 57
Kerberos, el iSeries A y el iSeries B deben estar configurados para el servicio de autenticación de red. v IBM Directory Server para iSeries (LDAP) en el iSeries A debe funcionar como controlador del nuevo dominio EIM. Nota: En el tema que trata sobre dominios se explica cómo dos tipos distintos de dominios, un dominio EIM y un dominio Windows 2000, encajan en el entorno de inicio de sesión único...
Página 58
Detalles La siguiente figura ilustra el entorno de red de este caso práctico. En la figura se ilustran los puntos relevantes de este caso práctico que se indican a continuación. Datos del dominio EIM definidos para la empresa v Tres nombres de definición de registro: –...
Página 59
a continuación, estos administradores también tienen definidas asociaciones de identificador para sus identidades de usuario en el registro MYCO.COM. Las asociaciones de identificador garantizan que las identidades de usuario de MYCO.COM no se correlacionen mediante las asociaciones de política. Por el contrario, las asociaciones de identificador garantizan que las identidades de usuario del registro MYCO.COM se correlacionen individualmente con otras identidades de usuario individuales concretas.
Página 60
v El servidor de directorio del iSeries A se configurará para que funcione como controlador de dominio EIM del nuevo dominio EIM, MyCoEimDomain. v Participa en el dominio EIM, MyCoEimDomain. v Su nombre de sujeto principal de servicio es krbsvr400/iseriesa.myco.com@MYCO.COM. v Su nombre de sistema principal totalmente calificado es iseriesa.myco.com.
Página 61
Nota: Las instrucciones de este caso práctico se basan en el supuesto de que el servidor de directorios todavía no está configurado en el iSeries A. Sin embargo, en el caso de que ya haya configurado el servidor de directorio, todavía podrá seguir estas instrucciones con algunas diferencias.
Página 62
afirmativamente a todas las preguntas relacionadas con los prerrequisitos de la hoja de trabajo y reunir toda la información necesaria para cumplimentar las hojas de trabajo antes de realizar las tareas de configuración. Nota: Antes de utilizar este caso práctico, es necesario que conozca los conceptos relacionados con el inicio de sesión único, entre ellos, el servicio de autenticación de red y la correlación de identidades de empresa (EIM).
Página 63
Nota: Este es el puerto por omisión del servidor de contraseñas. ¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer Servicio de autenticación de red...
Página 64
Tabla 14. Hoja de trabajo para planificar la configuración del inicio de sesión único en el iSeries A (continuación) Hoja de trabajo del plan de configuración en el iSeries A Respuestas ¿Qué contraseña utilizará para los sujetos principales de servicio iseriesa123 (uno o varios)? Nota: Todas y cada una de las contraseñas...
Página 65
¿Para qué servicios desea crear entradas de tabla de claves? Autenticación Kerberos i5/OS v Autenticación Kerberos i5/OS v LDAP v iSeries IBM HTTP Server v iSeries NetServer ¿Qué contraseña utilizará para los sujetos principales de servicio iseriesb123 (uno o varios) de i5/OS? Nota: Todas y cada una de las contraseñas...
Página 66
Tabla 15. Hoja de trabajo para planificar la configuración del inicio de sesión único en el iSeries B (continuación) Hoja de trabajo del plan de configuración en el iSeries B Respuestas ¿Qué usuario desea utilizar para conectarse al controlador de Tipo de usuario: Nombre dominio? Se trata del usuario de conexión.
Página 67
Tabla 18. Hoja de trabajo para planificar la configuración del inicio de sesión único - datos de dominio EIM - asociaciones de política Tipo de asociación Registro de Identidad de de política usuarios origen Registro de usuarios destino usuario Descripción | | | | | Registro por omisión MYCO.COM...
Página 68
Siguiente: v Archivo por lotes: añada el texto iseriesa al final del nombre del archivo por lotes por omisión. Por ejemplo, C:\Documents and Settings\All Users\Documents\IBM\Client Access\NASConfigiseriesa.bat. v Seleccione Incluir contraseña. Así se asegura de que todas las contraseñas asociadas al sujeto principal de servicio de i5/OS se incluyen en el archivo por lotes.
Página 69
Nota: v Los nombres de registro deben ser exclusivos en el dominio. v Puede escribir un nombre de definición de registro específico para el registro de usuarios si desea utilizar un plan de denominación de definición de registro específico.Sin embargo, en lo que se refiere a este caso práctico, puede aceptar los valores por omisión.
Página 70
Siguiente: v Archivo por lotes: añada el texto iseriesb al final del nombre del archivo por lotes por omisión. Por ejemplo, C:\Documents and Settings\All Users\Documents\IBM\Client Access\NASConfigiseriesb.bat. v Seleccione Incluir contraseña. Así se asegura de que todas las contraseñas asociadas al sujeto principal de servicio de i5/OS se incluyen en el archivo por lotes.
Página 71
FTP en su PC. Se le pedirá el nombre de usuario y la contraseña de administrador. 2. En el indicador FTP, teclee lcd ″C:\Documents and Settings\All Users\Documents\IBM\Client Access″. Pulse Intro. Debe recibir el mensaje Directorio local es ahora C:\Documents and Settings\All Users\Documents\IBM\Client Access.
Página 72
d. (Opcional) Acceda a las propiedades de los usuarios de Active Directory. En la pestaña Cuenta, seleccione Cuenta de confianza para delegación. Nota: Este paso opcional permite que su sistema delegue, o reenvíe, las credenciales de un usuario a otros sistemas. Como resultado, el sujeto principal de servicio de i5/OS podrá acceder a los servicios en múltiples sistemas en nombre del usuario.
Página 73
Nota: Antes de llevar a cabo este procedimiento, asegúrese de que ha creado un directorio inicial para su perfil de usuario i5/OS. 1. En una línea de mandatos del intérprete Qshell, escriba QSH para iniciar el intérprete Qshell. 2. Entre keytab list para visualizar una lista de los sujetos principales registrados en el archivo de tabla de claves.
Repita los pasos del 2 al 4, pero ahora escriba Sharon Jones en el campo Identificador. Ya ha creado un identificador EIM para cada uno de los administradores; ahora debe crear asociaciones que correlacionen las identidades de los usuarios con los identificadores. En primer lugar, cree las asociaciones para el identificador John Day.
Para crear una asociación destino correspondiente al perfil de usuario i5/OS de John Day en el iSeries B, siga estos pasos: 9. En la página Asociaciones, pulse Añadir. 10. En el recuadro de diálogo Añadir asociación, especifique la siguiente información o pulse Examinar...
Página 76
Para crear una asociación destino correspondiente al perfil de usuario i5/OS de Sharon Jones en el iSeries A, siga estos pasos: 6. En la página Asociaciones, pulse Añadir. 7. En el recuadro de diálogo Añadir asociación, especifique la siguiente información o pulse Examinar...
Página 77
Nota: para poder utilizar asociaciones de política, tenga en cuenta que primero debe habilitar el dominio de cara a la utilización de asociaciones de política para las operaciones de búsqueda de correlaciones. Puede hacerlo como parte del proceso de crear las asociaciones de política, como se indica a continuación: 1.
Para habilitar el registro ISERIESA.MYCO.COM para que participe en las operaciones de búsqueda de correlaciones y utilice las asociaciones de política, siga estos pasos: 1. En iSeries Navigator, expanda iSeries A → Red → Correlación de identidades de empresa (EIM) → Gestión de dominios →...
Página 79
| | | Para estos campos Vea estos resultados Usuario destino JOHND Origen Identificador EIM: John Day 5. Pulse Cerrar. Repita estos pasos seleccionando ahora ISERIESB.MYCO.COM para el campo Registro destino. Los resultados se visualizarán en la parte Correlación encontrada de la página, como se indica a continuación: | | | Para estos campos...
Página 80
| | | Para estos campos Vea estos resultados Usuario destino JONESSH Origen Identificador EIM: Sharon Jones Probar las correlaciones utilizadas para las asociaciones de política de registro por omisión Para comprobar que las correlaciones funcionen según lo previsto para los usuarios del departamento de recepción de pedidos, en función de las asociaciones de política definidas, siga estos pasos: 1.
Página 81
Nota: Todas y cada una de las contraseñas especificadas en este caso práctico se proponen solo a modo de ejemplo. Para impedir que la seguridad de su sistema o red se vea comprometida, no debe utilizar nunca estas contraseñas en su configuración. 2.
Página 82
Paso 15: Verificar la configuración del servicio de autenticación de red y EIM Ahora que ya ha verificado las partes individuales de la configuración del inicio de sesión único y se ha asegurado de que la configuración está completa, debe verificar que ha configurado EIM y el servicio de autenticación de red como es debido y que el inicio de sesión único funciona según lo previsto.
Conceptos El servicio de autenticación de red da soporte a los protocolos Kerberos y a las API de servicios de seguridad genéricos (GSS) que proporcionan la autenticación de los usuarios en una red. Son muchas las fuentes de información en las que se describen estos dos protocolos, así que en este tema tan solo se expondrán los elementos básicos que atañen al servidor iSeries.Las definiciones generales de los términos relacionados con Kerberos que se utilizan en este documento están en el tema Terminología del servicio de autenticación de red.
Página 84
servidor de contraseñas: permite a los clientes (sujetos principales) cambiar sus contraseñas en el servidor Kerberos de manera remota. El servidor de contraseñas se suele ejecutar en la misma máquina que el servidor Kerberos. sujeto principal: nombre de un usuario o un servicio en un reino Kerberos. Un usuario se considera una persona, mientras que un servicio sirve para identificar una aplicación específica o un conjunto de servicios del sistema operativo.
(EIM) en el servidor para correlacionar el sujeto principal Kerberos con un perfil de usuario de i5/OS. Esto se realiza para cualquier función de servidor iSeries que dé soporte a la autenticación de Kerberos, como por ejemplo IBM iSeries Access para Windows.
Página 86
Esta descripción muestra una visión general de cómo funciona este proceso de autenticación en una red: 1. El usuario jday se autentica ante el servidor Kerberos proporcionando un sujeto principal y una contraseña cuando inicia sesión en el reino Kerberos. Así se envía una petición al servidor Kerberos para obtener un ticket de otorgamiento de tickets (TGT).
Página 87
Este gráfico muestra cómo funciona la autenticación cuando un iSeries funciona a modo de cliente en una red Kerberos.En este gráfico, el servidor Kerberos que se encuentra en el servidor Windows 2000, expide tickets para el usuario que se autenticó ante Kerberos.El iSeries A se puede autenticar ante otros servicios.En este ejemplo, se utiliza EIM en el iSeries B para correlacionar el sujeto principal Kerberos con un perfil de usuario de iSeries.Esto se lleva a cabo para cualquier función de servidor iSeries que soporte la autenticación Kerberos, como puede ser QFileSvr.400.
4. El servidor Kerberos responde con el ticket de servicio. Nota: hay que añadir un sujeto principal de servicio del iSeries B al servidor Kerberos y además hay que configurar el servicio de autenticación de red en el iSeries B. 5.
RFC 1510 En la RFC 1510: Kerberos Network Authentication Service (V5), el equipo negociador de ingenieros de Internet (IETF) define formalmente el servicio de autenticación de red Kerberos (V5). Para ver la RFC mencionada anteriormente, visite el motor de búsqueda del índice de RFC que se encuentra en el sitio Web del editor de RFC .Busque el número de la RFC que desea ver.
Variables de entorno del servicio de autenticación de red Puede utilizar variables de entorno con el servicio de autenticación de red para influir en el comportamiento de las API de servicios de seguridad genéricos (GSS) y en las API del protocolo Kerberos.
Página 91
que se haya inicializado la unidad ejecutable de seguridad. El perfil de usuario bajo el que se ejecuta este programa debe tener la autorización *X sobre cada directorio de la vía de acceso que precede a este archivo, así como la autorización *R sobre el propio archivo. _EUV_HOME y HOME El directorio inicial (home) de la unidad ejecutable de seguridad se establece en el valor de la variable de entorno _EUV_HOME.
Página 92
Indica si se generan mensajes de depuración. El valor por omisión es suprimir los mensajes de depuración. La anotación de mensajes de depuración no debe estar habilitada a menos que así lo solicite el personal de servicio de IBM, porque puede afectar gravemente al rendimiento.Los valores válidos son: v 0 Suprimir mensajes de depuración...
Para obtener información sobre cómo configurar un servidor Kerberos en Microsoft Windows Active Directory, vea la ayuda de Microsoft Windows 2000 A continuación se indican las plataformas de IBM que admiten la autenticación Kerberos.Si desea información sobre la implementación Kerberos específica de cada plataforma, vea las siguientes fuentes de información:...
– IBM Network Authentication Service Version 1.3 for AIX: Administrator’s and User’s Guide – IBM Network Authentication Service Version 1.3 for AIX: Application Development Reference Nota: Encontrará esta documentación en el CD del paquete de ampliación y Bonus Pack de AIX 5L.
Página 95
AIX 5L. z/OS Security Server Network Authentication Service para z/OS es el programa IBM z/OS basado en Kerberos Versión 5. Network Authentication Service para z/OS proporciona servicios de seguridad Kerberos sin que haga falta adquirir o utilizar un programa de middleware.Estos servicios soportan un servidor Kerberos nativo.
Tabla 19. Hoja de trabajo de planificación de ejemplo para el servidor Kerberos. En esta hoja de trabajo se muestra un ejemplo de un administrador que ha planificado el servidor Kerberos para una red Preguntas Respuestas ¿En qué sistema operativo se propone configurar el i5/OS PASE servidor Kerberos? v Windows...
tienen que estar escritos con mayúsculas.Si se propone configurar el servicio de autenticación de red en el iSeries para que participe en un reino Kerberos configurado en Microsoft Windows Active Directory, deberá escribir el nombre del reino con mayúsculas. En el caso de un servidor Kerberos que esté configurado en i5/OS PASE, podrá crear nombres de reino escritos con minúsculas o mayúsculas.
Página 98
Kerberos y al reino. Si elige esta opción, el servidor busca en el directorio una entrada que especifique esta identidad Kerberos. En IBM Directory Server para iSeries (LDAP) encontrará los detalles sobre la configuración de la autenticación Kerberos en relación con el servidor de directorio.
Página 99
nombre de sujeto principal identifica las instancias del servidor HTTP en el iSeries que utilizará Kerberos para autenticar a los usuarios de la Web.Para utilizar la autenticación Kerberos con una instancia del servidor HTTP, también tendrá que llevar a cabo algunos pasos de configuración adicionales en relación con el servidor HTTP.
Consideraciones sobre la resolución de nombres de sistema principal En un entorno Kerberos, tanto el cliente como el servidor utilizan algún método de resolución de nombres de sistema principal para determinar el nombre de sistema principal del sistema en el que reside una aplicación o un servicio en concreto.
Página 101
Detalles Servidor DNS v Contiene registros de recursos de datos que indican que la dirección IP 10.1.1.1 se correlaciona con el nombre de sistema principal iseriesa.myco.com, que son la dirección IP y el nombre de sistema principal del iSeries A. v Pueden utilizarlo el PC, el iSeries A o ambos para la resolución de sistemas principales.
Página 102
iSeries A v Ejecuta i5/OS Versión 5 Release 3 (V5R3). v Contiene una aplicación de servicio a la que se tiene que acceder con el servicio de autenticación de red (autenticación Kerberos). v En el menú CFGTCP (Configurar TCP), las opciones 10 y 12 indican la siguiente información del iSeries A: –...
Página 103
Tabla 26. Hoja de trabajo de resolución de nombres de sistema principal del PC En el PC, determine el nombre de sistema principal del servidor iSeries | | | Paso Origen Nombre de sistema principal | | | 1.a.1 Archivo hosts del PC | | | 1.b.1 Servidor DNS...
Página 104
b. Utilice NSLOOKUP para consultar el servidor DNS. Nota: Si ha encontrado una entrada de nombre de sistema principal en el archivo hosts del PC, sáltese este paso y continúe en el paso 2. (El archivo hosts tiene prioridad sobre los servidores DNS cuando el sistema operativo resuelve nombres de sistema principal del PC).
Nota: Si NSLOOKUP no devuelve los resultados previstos, la configuración del DNS debe estar incompleta. Por ejemplo, si NSLOOKUP devuelve una dirección IP distinta de la que entró en el paso 2.c.1, tendrá que ponerse en contacto con el administrador del DNS para solucionar este problema y poder continuar realizando los pasos siguientes.
Página 106
Tabla 29. Hoja de trabajo de prerrequisitos (continuación) Preguntas Respuestas ¿Ha instalado el último Service Pack de iSeries Access para Windows? En la página Web de iSeries Access encontrará el último Service Pack. ¿Tiene las autorizaciones especiales *SECADM, *ALLOBJ e *IOSYSCFG? ¿Ha instalado alguno de los siguientes sistemas operativos en un sistema seguro que funcionará...
Página 107
Tabla 32. Hoja de trabajo de planificación de sujetos principales Preguntas Respuestas ¿Qué convenio de denominación se propone utilizar para los sujetos principales Kerberos que representan a los usuarios de la red? ¿Qué convenio de denominación utilizará para las aplicaciones de la red? ¿Para qué...
Kerberos en cada una de estas plataformas: v Ayuda de Microsoft Windows v Servicio de autenticación de red de z/OS Security Server v IBM Network Authentication Service Version 1.3 for AIX: Administrator’s and User’s Guide iSeries: Servicio de autenticación de red...
Nota: Encontrará esta documentación en el CD del paquete de ampliación y Bonus Pack de AIX 5L. Configurar un servidor Kerberos en i5/OS PASE 1. “Configurar un servidor Kerberos en i5/OS PASE” 2. “Cambiar los valores de cifrado en el servidor Kerberos” en la página 104 3.
Nota: En vez de iniciar los servidores durante una IPL, también puede iniciarlos manualmente después de la IPL, siguiendo estos pasos: 1. En una interfaz basada en caracteres, teclee call QP2TERM para abrir el entorno de shell interactivo de i5/OS PASE. 2.
Página 111
v Sujeto principal de servicio en el servidor Kerberos Por cuestión de interoperatividad entre una estación de trabajo Windows 2000 o Windows XP y un servidor Kerberos de i5/OS PASE, tendrá que añadir un sujeto principal de sistema principal de la estación de trabajo al reino Kerberos.
C:> ksetup /setmachpassword contraseña Esta contraseña debe coincidir con la que se utilizó al crear el sujeto principal de sistema principal, pc1.myco.com. Por ejemplo, el usuario de MyCo, Inc., escribiría: C:> ksetup /setmachpassword secret1 3. Correlacione el usuario de Kerberos con un usuario local escribiendo lo siguiente en el indicador de mandatos de la estación de trabajo Windows 2000: C:>...
Página 113
Detalles v La figura ilustra los servidores tal como son después de haber seguido los pasos para configurar un servidor Kerberos secundario: – El iSeries A funciona como servidor Kerberos primario configurado en i5/OS PASE. – El iSeries B funciona como servidor Kerberos secundario configurado en i5/OS PASE. –...
Página 114
Este mandato señala hacia los scripts Kerberos que se necesitan para ejecutar los archivos ejecutables. c. En la línea de mandatos, escriba kadmin -p admin/admin. d. Inicie sesión con la contraseña de administrador. Por ejemplo, secret. e. En la línea de mandatos, escriba: addprinc -randkey -clearpolicy host/iseriesa.myco.com f.
Página 115
ADDSRVTBLE SERVICE(’kerberos’) PORT(88) PROTOCOL(’udp’) TEXT(’Kerberos authentication (udp)’) ALIAS(’kdc’) ADDSRVTBLE SERVICE(’kerberos’) PORT(88) PROTOCOL(’tcp’) TEXT(’Kerberos authentication (tcp)’) ALIAS(’kdc’) ADDSRVTBLE SERVICE(’krb5_prop’) PORT(754) PROTOCOL(’tcp’) TEXT(’Kerberos propagation’) ADDSRVTBLE SERVICE(’kerberos-adm’) PORT(749) PROTOCOL(’tcp’) TEXT(’Kerberos 5 admin/changepw’) ADDSRVTBLE SERVICE(’kerberos-adm’) PORT(749) PROTOCOL(’udp’) TEXT(’Kerberos 5 admin/changepw’) Nota: Estas entradas representan los puertos por omisión. Si desea utilizar otros puertos, tendrá que especificar el puerto real.
Página 116
b. En la línea de mandatos, escriba: export PATH=$PATH:/usr/krb5/sbin Este mandato señala hacia los scripts Kerberos que se necesitan para ejecutar los archivos ejecutables. c. En la línea de mandatos, escriba: kdb5_util dump /var/krb5/krb5kdc/slave_datatrans Esto hace que se cree un vuelco de la base de datos en el servidor Kerberos primario. Nota: El nombre /var/krb5/krb5kdc/slave_datatrans es un ejemplo del nombre que puede tener el archivo en el que se volcará...
Para iniciar el daemon KDC en el iSeries B, escriba start.krb5 krb5kdc en la línea de mandatos del entorno de shell interactivo QP2TERM. Configurar el daemon KDC para que se inicie automáticamente Si lo desea, puede configurar el daemon KDC para que se inicie automáticamente durante una IPL. Para configurar que el daemon KDC se inicie automáticamente durante una IPL, tendrá...
3. En la página de bienvenida encontrará información sobre los objetos que crea el asistente. Pulse Siguiente. 4. En la página Especificar información de reino, entre el nombre del reino por omisión en el campo Reino por omisión. Si se propone utilizar Microsoft Active Directory para la autenticación Kerberos, seleccione Se utiliza Microsoft Active Directory para la autenticación Kerberos.Pulse Siguiente.
Página 119
Kerberos de un dominio i5/OS PASE o Windows 2000. Si ha creado opcionalmente sujetos principales de servicio para IBM Directory Server para iSeries (LDAP), iSeries NetServer o HTTP Server, también debe añadirlos al servidor Kerberos.
Página 120
4. En el indicador FTP, teclee cd \midirectorio, siendo midirectorio un directorio del servidor Windows en el que desee colocar el archivo por lotes. 5. En el indicador FTP, teclee put NASConfig.bat. Debe recibir el mensaje: 226 Transferencia completada. 6. En el servidor Windows 2000, abra el directorio al que ha transferido el archivo por lotes. 7.
Nota: En el mandato, krbsvr400iseriesa representa el nombre de la cuenta de usuario creada en el paso 3, y secret es la contraseña que escribió durante la configuración del servicio de autenticación de red para el sujeto principal de i5/OS. Qué...
Configurar la correlación de identidades de empresa (EIM): este paso es opcional si está utilizando el servicio de autenticación de red con sus propias aplicaciones. No obstante, le recomendamos que lo lleve a cabo cuando utilice las aplicaciones suministradas por IBM, para crear un entorno de inicio de sesión único (SSO).
Nota: Si se propone utilizar el emulador PC5250 en iSeries Navigator,tendrá que cambiar el valor del sistema del Inicio de sesión remoto para que le permita eludir el inicio de sesión. Para cambiar el valor del sistema del Inicio de sesión remoto, siga estos pasos: 1.
Suprimir reinos Como administrador de la red, le interesará suprimir un reino de la configuración del servicio de autenticación de red. Los reinos pueden dejar de utilizarse o dejar de ser necesarios en una red. Quizás también necesite eliminar un reino por omisión como recuperación ante algún problema de aplicación nativo de iSeries.
3. En la pestaña Servidor de contraseñas, escriba el nombre del servidor de contraseñas. Por ejemplo, un nombre válido para el servidor de contraseñas podría ser: psvr.myco.com. 4. Escriba el número del puerto que se corresponde con el servidor de contraseñas. Los números de puerto válidos son los comprendidos entre el 1 y el 65535.
6. Si selecciona Utilizar correlaciones estáticas como tipo de resolución de sistemas principales, escriba el nombre de reino y el nombre DNS que corresponda. Por ejemplo, el nombre de sistema principal podría ser mypc.mycompanylan.com y el nombre del reino es MYCO.COM. También puede correlacionar nombres de sistema principal genéricos con un reino específico.
Página 127
O bien En una línea de mandatos de lenguaje de control (CL) de i5/OS, especifique: call qsys/qkrbkinit parm(’-l’ ’5h’ ’jday’) En las notas de utilización de kinit encontrará los detalles sobre cómo utilizar este mandato de Qshell y sus restricciones. kinit Sintaxis kinit [-r tiempo] [-R] [-p] [-f] [-A] [-l tiempo] [-c antememoria] [-k] [-t tabla de...
Página 128
principal: sujeto principal del ticket. Si no especifica el sujeto principal en la línea de mandatos, el sistema lo obtiene de la antememoria de credenciales. Autorizaciones Objeto al que se hace referencia Autorización necesaria Cada directorio del nombre de vía de acceso que precede al archivo de tabla de claves si se especifica la opción -t Archivo de tabla de claves cuando se especifica -t Cada directorio del nombre de vía de acceso que precede al archivo de...
Visualizar antememoria de credenciales El mandato klist visualiza el contenido de una antememoria de credenciales de Kerberos. Para obtener una lista de todas las entradas de la antememoria de credenciales por omisión y visualizar los distintivos de los tickets: En una línea de mandatos de Qshell, escriba: klist -f -a O bien En una línea de mandatos de lenguaje de control (CL) de i5/OS, especifique:...
Página 130
Abreviatura Significado Ticket inicial Ticket no válido Se utiliza preautenticación El servidor puede ser un delegado Lista de tránsitos comprobada por el servidor Kerberos Esta opción solo es válida cuando se obtiene una lista de una antememoria de credenciales. -s: suprimir salida de mandato, pero establecer el estado de la salida en 0 si se encuentra un ticket de otorgamiento de tickets valido en la antememoria de credenciales.
v No se puede recuperar el nombre de sujeto principal a partir de la antememoria de credenciales nombre_archivo. v No se puede recuperar el ticket a partir de la antememoria de credenciales nombre_archivo. v No se puede descodificar el ticket. v No se ha encontrado la tabla de claves por omisión.
Página 132
2. Pulse Servicio de autenticación de red con el botón derecho del ratón y seleccione Gestionar tabla de claves... Se lanzará una parte del asistente del servicio de autenticación de red que le permitirá añadir entradas de tabla de claves. 3.
v Debe especificar add, delete, list o merge. v opción_mandato no es una opción de mandato válida. v La opción_mandato_uno y la opción_mandato_dos no se pueden especificar juntas. v La opción valor_opción no es válida para la petición nombre_petición. v Se necesita un valor para la opción nombre_opción. v No se puede analizar el nombre de sujeto principal.
Página 134
En una línea de mandatos de Qshell, escriba: call qsys/qkrbkpsswd Para cambiar la contraseña de otro sujeto principal: En una línea de mandatos de Qshell, escriba: kpasswd jday@myco.com Para cambiar la contraseña de otro sujeto principal de i5/OS PASE: 1. En una interfaz basada en caracteres, teclee call QP2TERM. Este mandato abre un entorno de shell interactivo que le permite trabajar con aplicaciones de i5/OS PASE.
Mensajes v El sujeto principal %3$s no es válido. v No se puede leer la antememoria de credenciales por omisión nombre_archivo. v No hay ninguna antememoria de credenciales por omisión. v No se puede recuperar el ticket a partir de la antememoria de credenciales nombre_archivo. v No se puede leer la contraseña.
Página 136
call qsys/qkrbkdstry parm (’e’ ’-1d’) En las notas de utilización de “kdestroy” encontrará los detalles sobre cómo utilizar este mandato de Qshell y sus restricciones. kdestroy Sintaxis kdestroy [-c nombre_antememoria] [-e incremento_tiempo] Autorización de uso público por omisión: *USE El mandato kdestroy de Qshell destruye una antememoria de credenciales Kerberos. Opciones -c nombre_antememoria: nombre de la antememoria de credenciales que se destruirá.
Autorización sobre datos que se Autorización sobre objeto Objeto al que se hace referencia necesita que se necesita Todos los directorios del nombre de la vía de acceso Ninguna Archivo de antememoria de credenciales Ninguna Cada directorio de las vías de acceso a los archivos de Ninguna configuración Archivos de configuración...
Página 138
delhost nombre-sistpral nombre-reino: este submandato suprime del reino especificado una entrada de sistema principal y las especificaciones asociadas del servidor Kerberos. Si no se especifica un nombre de reino, se utiliza el nombre de reino por omisión. delkdc nombre-sistpral nombre-reino: este mandato suprime una entrada existente en el servidor Kerberos para el sistema principal especificado.
-h: nombre de sistema principal del servidor de directorio. Si no especifica esta opción, se utiliza el servidor de directorio especificado en el archivo de configuración de Kerberos. -n: nombre distinguido que se utilizará al enlazarse al servidor de directorio. Si no especifica esta opción, se utiliza la variable de entorno LDAP_BINDDN para obtener el nombre.
Página 140
Lea el tema “Información de exención de responsabilidad” en la página 2, donde encontrará información legal importante. Archivo de configuración krb5.conf de ejemplo ; krb5.conf - Kerberos V5 configuration file DO NOT REMOVE THIS LINE [libdefaults] ; El valor de default_realm ;-default_realm = REALM1.ROCHESTER.IBM.COM default_realm = DEPTXYZ.BOGUSNAME.COM iSeries: Servicio de autenticación de red...
; acceder desde ese reino. Puede haber servidores que figuren numerosas veces en la ; lista si son varias las relaciones de confianza implicadas. Especifique ’.’ para ; una conexión directa. ;-REALM1.ROCHESTER.IBM.COM = { REALM2.ROCHESTER.IBM.COM = . DEPTXYZ.BOGUSNAME.COM = { DEPTABC.BOGUSNAME.COM = .
Página 142
1) En iSeries Navigator, expanda su servidor iSeries → Red → Servidores → TCP/IP. 2) Pulse IBM Directory Server con el botón derecho del ratón y seleccione Propiedades. 3) En la página Base de datos/Sufijo, especifique el sufijo que desea añadir.
Página 143
Esquema LDAP Nota: El servidor LDAP de i5/OS (IBM Directory Server) se suministra con el esquema LDAP ya definido. Sin embargo, si utiliza un servidor LDAP distinto del IBM Directory Server, puede definir su propio esquema en ese servidor.Si decide definir su propio esquema en un servidor LDAP, le será...
Este apartado proporciona enlaces que llevan a información de resolución de los problemas más habituales relacionados con el servicio de autenticación de red, la correlación de identidades de empresa (EIM) y las aplicaciones suministradas por IBM que admiten la autenticación Kerberos. 1. Se han satisfecho todos los prerrequisitos.
Tabla 36. Errores y recuperación del servicio de autenticación de red (continuación) Error Recuperación KRBWIZ_PASSWORD_MISMATCH La contraseña nueva Vuelva a escribir la contraseña nueva y la del campo no coincide con la que ha escrito en el campo Confirmar Confirmar contraseña nueva. contraseña nueva.
Página 146
Tabla 37. Errores comunes de las interfaces de i5/OS habilitadas para Kerberos (continuación) Problema Recuperación La conexión DRDA/DDM falla en un sistema iSeries Compruebe si existe el reino por omisión especificado conectado con anterioridad. durante la configuración del servicio de autenticación de red.
Página 147
2. Pulse Directorio con el botón derecho del ratón y seleccione Propiedades. 3. En la página Base de datos/Sufijos, elimine las entradas ibm-eimDomainName y reconfigure EIM. Se produjo un error mientras se verificaban los valores Como recuperación de este error, lleve a cabo estas de la conexión.
Tabla 37. Errores comunes de las interfaces de i5/OS habilitadas para Kerberos (continuación) Problema Recuperación El sujeto principal Kerberos no está en un grupo de Añada al archivo de grupos de confianza el sujeto confianza. principal Kerberos del sistema que está intentando Nota: Este error se produce cuando se configuran conectarse a este sistema.
11. En la pantalla Añadir variable de entorno (ADDENVVAR), escriba _EUV_SVC_DBG_MSG_LOGGING en el campo Variable de entorno. 12. En el campo Valor inicial, teclee 1. Pulse Intro. 13. En la interfaz basada en caracteres, teclee ADDENVVAR (Añadir variable de entorno). 14.
En los siguientes sitios Web hallará más información sobre cómo configurar un servidor Kerberos con un sistema operativo concreto. v Ayuda de Microsoft Windows 2000 v Servicio de autenticación de red de z/OS Security Server v IBM Network Authentication Service Version 1.3 for AIX: Administrator’s and User’s Guide iSeries: Servicio de autenticación de red...
″TAL CUAL″, SIN GARANTÍAS DE NINGUNA CLASE, INCLUIDAS, SIN LIMITARSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN Y ADECUACIÓN A UN FIN DETERMINADO. IBM NO GARANTIZA QUE EL USO DE DICHO CÓDIGO NO VAYA A INFRINGIR NINGÚN DERECHO DE AUTOR, SECRETO COMERCIAL, PATENTE O CUALQUIER OTRO DERECHO DE PROPIEDAD INTELECTUAL, DERECHO PROPIETARIO O DERECHO CONTRACTUAL DE TERCEROS.
Esta información se ha desarrollado para productos y servicios ofrecidos en los Estados Unidos. Es posible que en otros países IBM no ofrezca los productos, servicios o características que se describen en este documento. El representante local de IBM le puede informar acerca de los productos y servicios que actualmente están disponibles en su localidad.
Página 153
Web. Los materiales de esos sitios web no son parte de los materiales de este producto IBM y el uso de esos sitios web es por cuenta y riesgo del usuario.
Página 154
únicamente metas y objetivos. Todos los precios de IBM mostrados son precios actuales de venta al por menor sugeridos por IBM y sujetos a modificaciones sin previo aviso. Los precios de los concesionarios pueden ser diferentes.
Página 155
que la anterior nota de derechos de autor conste en todas las copias y que tanto la nota de derechos de autor como la nota referente a este permiso aparezcan en la documentación de soporte, y que el nombre del M.I.T. no se utilice en anuncios ni en publicidad relacionados con la distribución del software sin el previo permiso por escrito específico.
Página 156
Se otorga permiso para realizar y distribuir copias literales de este manual siempre y cuando se conserven los avisos de copyright y este permiso en todas las copias. Se otorga permiso para copiar y distribuir versiones modificadas de este manual bajo las condiciones para copias literales, siempre y cuando todo el trabajo derivado resultante se distribuya bajo los términos de un aviso de permiso idéntico a este.
Página 157
Copyright (c) 1994 CyberSAFE Corporation. Reservados todos los derechos. La exportación de este software fuera de Estados Unidos puede exigir una licencia específica del Gobierno de EE. UU. Es responsabilidad de la persona u organización que tenga en mente la exportación obtener dicha licencia antes de efectuar la exportación.
Página 158
DENTRO DE DICHA RESTRICCIÓN, por la presente se otorga permiso para utilizar, copiar, modificar y distribuir este software y su documentación para cualquier finalidad y sin pagar ninguna cantidad, siempre que la anterior nota de derechos de autor conste en todas las copias y que tanto la nota de derechos de autor como la nota referente a este permiso aparezcan en la documentación de soporte, y que el nombre de Richard P.
Página 159
SUN MICROSYSTEMS, INC. NO TENDRÁ NINGUNA RESPONSABILIDAD CON RESPECTO A LA VULNERACIÓN DE COPYRIGHTS, SECRETOS COMERCIALES NI PATENTES DE SUN RPC O DE TERCEROS. En ninguna caso será Sun Microsystems, Inc. responsable de pérdidas de beneficios ni de otros daños especiales, indirectos o derivados, aunque Sun haya sido advertido de la posibilidad de los mismos.
Página 160
Marcas registradas Los términos siguientes son marcas registradas de International Business Machines Corporation en Estados Unidos y/o en otros países: v AIX v IBM v SecureWay v Tivoli v VisualAge Kerberos es una marca registrada del Massachusetts Institute of Technology (MIT).
Web. Los materiales de estos sitios Web no forman parte de los materiales de IBM para este producto y el uso que se haga de estos sitios Web es de la entera responsabilidad del usuario.
Página 162
únicamente metas y objetivos. Todos los precios de IBM mostrados son precios actuales de venta al por menor sugeridos por IBM y sujetos a modificaciones sin previo aviso. Los precios de los concesionarios pueden ser diferentes.
IBM se reserva el derecho de retirar los permisos otorgados cuando crea que el uso de la información perjudica a sus intereses o, cuando IBM considere que no se siguen correctamente las instrucciones anteriores.