Gestion des mots de passe › Synchronisation des mots de passe sur des terminaux › Synchronisation de mots de passe sur OS/400 › Installation du certificat de serveur de provisionnement

Installation du certificat de serveur de provisionnement

Pour utiliser SSL, les composants de système d'exploitation suivants doivent être installés sur votre ordinateur iSeries :

• Programme cryptographique autorisé sous licence par un fournisseur d'accès (5722 AC3)
• Gestionnaire de certificats numériques (Option 34 de OS/400)
• Serveur HTTP IBM pour iSeries (5722 DG1)

Sous iSeries

1. Chargez le certificat de serveur de provisionnement à partir de l'ordinateur du serveur de provisionnement vers iSeries. Vous pouvez trouver le certificat à l'emplacement suivant :

   C:\Program Files\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. Connectez-vous à DCM.

   A l'aide d'un navigateur Web, accédez à http://<nom d'hôte>:2001. Lorsque vous y êtes invité, connectez-vous en tant qu'utilisateur QSECOFR et cliquez sur le gestionnaire de certificats numériques.

3. Cliquez sur Select a Certificate Store (Sélectionner un référentiel de certificats) et sélectionnez le référentiel de certificats *SYSTEM. Si ce référentiel n'existe pas, créez-en un appelé *SYSTEM, puis saisissez le mot de passe du référentiel de certificats.
4. Importez le certificat en tant que certificat d'autorité de certification à l'aide du DCM.

   Cliquez sur Manage Certificates (Gérer les certificats), Import Certificate (Importer un certificat). Sélectionnez l'option Autorité de certification (CA) et entrez le nom de fichier du certificat du serveur de provisionnement. Il s'agit de l'emplacement où vous avez chargé le certificat à l'étape 1. Saisissez l'étiquette Serveur de provisionnement pour le certificat.

5. Après avoir importé le certificat d'autorité de certification dans le référentiel de clés *SYSTEM du terminal, vérifiez que le client IBM Directory QIBM_GLD_DIRSRV_CLIENT puisse accéder au référentiel de clés *SYSTEM. Sans quoi, l'appel d'initialisation SSL de l'agent de synchronisation du mot de passe échouera.
6. Configurez l'application cliente Directory Services de sorte à approuver le certificat du serveur de provisionnement, ouvrez Manage Applications (Gérer des applications), Define CA trust list (Définir la liste de confiance d'autorité de certification) et sélectionnez Directory Services Client (client de services d'annuaire).

   Si l'importation s'est correctement effectuée à l'étape 4, le certificat du serveur de provisionnement doit être répertorié ici.

   Cliquez sur Trusted (fiable) pour le certificat de serveur de provisionnement, puis cliquez sur OK.

7. Accordez des autorisations de lecture publique aux fichiers SSL et des droits d'accès en lecture au référentiel de certificats *SYSTEM :

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   Accordez des autorisation de lecture et d'exécution au dossier parent :

   (/QIBM/userdata/ICCS/Cert/Server)
   

   Remarque : L'adoption de l'autorité de l'utilisateur PWDSYNCH ne fonctionne pas dans le système de fichiers / ; l'accès doit donc être accordé à tous les utilisateurs.