d. (Opcional) Acceda a las propiedades de los usuarios de Active Directory. En la pestaña Cuenta,
seleccione Cuenta de confianza para delegación.
Nota: Este paso opcional permite que su sistema delegue, o reenvíe, las credenciales de un
usuario a otros sistemas. Como resultado, el sujeto principal de servicio de i5/OS podrá
acceder a los servicios en múltiples sistemas en nombre del usuario. Esto resulta útil en una
red multinivel.
Ahora que ya ha añadido el sujeto principal de servicio de i5/OS al servidor Kerberos, debe crear un
directorio inicial para cada uno de los usuarios.
Paso 4: Crear un directorio inicial para los usuarios en el iSeries A
Cada usuario que se conecte al i5/OS y a las aplicaciones del i5/OS necesitará un directorio en el
directorio /home (directorio inicial). Este directorio contendrá el nombre de la antememoria de
credenciales Kerberos del usuario. Para crear un directorio inicial para un usuario, siga estos pasos:
En la línea de mandatos de i5/OS, escriba: CRTDIR '/home/perfil usuario', siendo perfil usuario el
nombre del perfil i5/OS del usuario. Por ejemplo, CRTDIR '/home/JOHND' corresponde al usuario John Day.
Repita este mandato para el usuario Sharon Jones, pero ahora especifique su perfil de usuario i5/OS, que
es SHARONJ.
Después de haber creado directorios iniciales para cada uno de los usuarios, tendrá que verificar que el
servicio de autenticación de red funciona como es debido.
Paso 5: Probar el servicio de autenticación de red en el iSeries A
Debe verificar que ha configurado correctamente el servicio de autenticación de red solicitando un ticket
de otorgamiento de tickets para un sujeto principal del iSeries A:
1. En una línea de mandatos del intérprete Qshell, escriba QSH para iniciar el intérprete Qshell.
2. Entre keytab list para visualizar una lista de los sujetos principales registrados en el archivo de tabla
de claves. Deben visualizarse los siguientes resultados:
Sujeto principal: krbsvr400/iseriesa.myc.com@MYCO.COM
Versión de clave: 2
Tipo de clave: DES de 56 bits mediante derivación de clave
Indicación de la hora de la entrada: 200X/05/29-11:02:58
3. Escriba kinit -k krbsvr400/iseriesa.myco.com@MYCO.COM para solicitar un ticket de otorgamiento de
tickets al servidor Kerberos. Este mandato verifica que el servidor iSeries está debidamente
configurado y que la contraseña del archivo de tabla de claves concuerda con la almacenada en el
servidor Kerberos. Si tiene éxito, el mandato QSH se visualizará sin errores.
4. Escriba klist para verificar que el sujeto principal por omisión es
krbsvr400/iseriesa.myco.com@MYCO.COM. Este mandato visualiza el contenido de una antememoria
de credenciales Kerberos y verifica que se ha creado un ticket válido para el sujeto principal de
servicio de i5/OS y que se ha colocado en la antememoria de credenciales del sistema iSeries.
Antememoria de tickets: FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred
Sujeto principal por omisión: krbsvr400/iseriesa.myco.com@MYCO.COM
Servidor: krbtgt/MYCO.COM@MYCO.COM
Válido del 200X/06/09-12:08:45 al 20XX/11/05-03:08:45
$
Ya ha terminado las tareas necesarias para configurar el servicio de autenticación de red en el iSeries A.
Servicio de autenticación de red
21