作者: 佚名 原因:IBM DW中国
阅读提醒:随着安全需求的日益增长,现在的企业需要易于维护的安全机制,然则这些安全机制必须为其供应一个安全的形态。
设置 Kerberized 形态以便与 Solaris(TM) 10 协同使命,了解怎样在 AIX(R) Version 5.3 中设置密钥分发中心 (KDC)。您还将欣赏在 Solaris 10 中设置 Kerberos 客户真个一系列步伐,以运用 AIX Version 5.3 作为 KDC 对 Telnet、远程 Shell (rsh) 和安全 Shell (SSH) 的用户举办身份验证。在不同的平台之间运用单个 AIX IBM Network Authentication Service (NAS) KDC 举办身份验证异常有效,尤其是在混合形态中。
弁言
随着安全需求的日益增长,现在的企业需要易于维护的安全机制,然则这些安全机制必须为其供应一个安全的形态。安全机制需要供应强盛的身份验证特性以及失密性和其他的特性,歧单点登录 (SSO)。Kerberos 恰是如许的一种身份验证协议,它议决在称为密钥分发中心 (KDC) 的中心存储库中存储相干信息的数据库,从而供应齐集式的身份验证。
现在,一切的供应商都具有其本人的 Kerberos 完成。在混合形态中,这些 Kerberos 完成之间必须可以概略举办 互运用。Solaris™ 在其 Sun Enterprise Authentication Mechanism™ (SEAM) 软件中供应了 Kerberos Version 5 协议的完成,而 IBM 的 Kerberos 完成是 IBM Network Authentication Service (NAS)。正如 Sun Solaris 10 的文档(请拜见参考材料部门)平说明的,Solaris 10 中包括了 SEAM 产物的一切组成部门,以是不再需要运用 SEAM。
本文将向您引见在 Solaris 10 中设置 Kerberos 客户端所需的步伐,以便应用 AIX® Version 5.3 作为 KDC,对运用常用通讯托事的用户举办身份验证,如 Telnet、远程 Shell (rsh) 和安全 Shell (SSH)。在混合形态中,可以运用单个 AIX IBM NAS KDC 举办不同平台的身份验证,经管员将可以从中受益。
运用 AIX Version 5.3 在 Solaris 10 中完成 Kerberized 身份验证
本部门引见了将 AIX Version 5.3 设置作为 KDC 以及在 Solaris 10 中设置 Kerberos 客户端所需的步伐。上面是在示例中运用到的一些界说:
Kerberos Realm Name / Domain Name AIX_KDC
IBM NAS1.4 KDC hostname: aixdce39.in.ibm.com, OS:
AIX Version 5.3
SSH/telnet/rlogin Server hostname: solsarpc2.in.ibm.com, OS:
Solaris 10
Solaris 10 Kerberos Client hostname: solsarpc2.in.ibm.com, OS:
Solaris 10
SSH/telnet/rlogin client hostname: aixdce1.in.ibm.com, OS:
AIX Version 5.3
Windows test machine(with rsh/SSH/telnet client) hostname: winsarpc2.in.ibm.com, OS:
Windows XP
上面的图 1 表现了示例的设置。
498)this.style.width=498;" twffan="done">
图 1. 示例设置
在 AIX V5.3 中设置 IBM NAS KDC
要实行清单 1 中的号令,致意置 IBM NAS krb5.server.rte 文件集。AIX Version 5.3 Expansion Pack CD 中供应了 IBM NAS 文件集。
清单 1. 安置 IBM NAS 文件集
[root@aixdce39 / ]# hostname
aixdce39.in.ibm.com
[root@aixdce39 / ]# installp -aqXYgd . krb5.server
[root@aixdce39 / ]# echo 'export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH' > ~/.profile
实行清单 2 中的号令,以便在 AIX 谋略机中对 IBM NAS 办事器的遗留设置举办设置。凑合其他规范的 IBM NAS 办事器设置,请参阅 AIX Version 5.3 Expansion Pack CD 中附带的 IBM NAS1.4 Administration Guide。
清单 2. 设置遗留设置
[root@aixdce39 / ]# hostname
aixdce39.in.ibm.com
[root@aixdce39 / ]# /usr/krb5/sbin/config.krb5 -S -d in.ibm.com -r
AIX_KDC
Initializing configuration...
Creating /etc/krb5/krb5_cfg_type...
Creating /etc/krb5/krb5.conf...
Creating /var/krb5/krb5kdc/kdc.conf...
Creating database files...
Initializing database '/var/krb5/krb5kdc/principal' for realm 'AIX_KDC'
master key name 'K/M@AIX_KDC'
You are prompted for the database Master Password.
It is important that you DO NOT FORGET this password.
Enter database Master Password:
Re-enter database Master Password to verify:
WARNING: no policy specified for admin/admin@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "admin/admin@AIX_KDC":
Re-enter password for principal "admin/admin@AIX_KDC":
Principal "admin/admin@AIX_KDC" created.
Creating keytable...
Creating /var/krb5/krb5kdc/kadm5.acl...
Starting krb5kdc...
krb5kdc was started successfully.
Starting kadmind...
kadmind was started successfully.
The command completed successfully.
设置 Solaris 10 Kerberos 客户端
在 Solaris 10 中,该运用系统缺省情鱿绿峁┝?Kerberos 客户端,这是与从前版本的不同之处,从前的版本中附带了一个称为 SEAM 的独自的组件。要在 Solaris 10 中设置 Kerberos 客户端,至多需要确立一个符合的 /etc/krb5/krb5.conf 文件。清单 3 表现了 krb5.conf 文件的内容,我们将在 Solaris 10 谋略机的 Kerberos 客户端运用这个文件。
我们建议经管员凭证其需要确立 /etc/krb5/krb5.conf 文件。有关 Solaris 10 的 krb5.conf 的详细信息,请拜见参考材料部门。
清单 3. Solaris 谋略机中 krb5.conf 文件的内容
/> hostname
solsarpc2
/> cat /etc/krb5/krb5.conf
[libdefaults]
default_realm = AIX_KDC
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des3-cbc-sha1
default_tgs_enctypes = des3-cbc-sha1
[realms]
AIX_KDC = {
kdc = aixdce39.in.ibm.com:88
admin_server = aixdce39.in.ibm.com:749
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = AIX_KDC
aixdce39.in.ibm.com = AIX_KDC
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
要为 Solaris 10 谋略机设置 Kerberized 身份验证,您需要将用于这台 Solaris 谋略机的 Kerberos 任同族儿体的规范设置为 host/
在 keytab 文件中确立任同族儿体条目的要拥有良多种。清单 4 表现了此中一种要领,确立 Kerberos 任同族儿体,并运用承载 KDC 的 AIX 谋略机中的 IBM NAS 供应的 kadmin 器械将其条目添加到 keytab 文件中。然后运用 FTP 将 keytab 文件从 AIX 谋略机传输到符合的 Solaris 谋略机。Kerberos 适用器械,如 ktutil,在需要的形态下也可以用来完成不异的使命。
清单 4. 确立 krb5.keytab 文件
root@aixdce39: / >
$ hostname
aixdce39.in.ibm.com
root@aixdce39: / >
$ /usr/krb5/bin/kinit admin/admin
Password for admin/admin@AIX_KDC:
root@aixdce39: / >
$ /usr/krb5/bin/klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: admin/admin@AIX_KDC
Valid starting Expires Service principal
09/20/06 07:24:41 09/21/06 07:24:32 krbtgt/AIX_KDC@AIX_KDC
root@aixdce39: / >
$ /usr/krb5/sbin/kadmin
Authenticating as principal admin/admin@AIX_KDC with password.
Password for admin/admin@AIX_KDC:
kadmin: add_principal -e des3-cbc-sha1:normal -randkey host/solsarpc2.in.ibm.com
WARNING: no policy specified for host/solsarpc2.in.ibm.com@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Principal "host/solsarpc2.in.ibm.com@AIX_KDC" created.
kadmin: ktadd -e des3-cbc-sha1:normal host/solsarpc2.in.ibm.com
Entry for principal host/solsarpc2.in.ibm.com with kvno 3, encryption type Triple DES
cbc mode
with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
kadmin: q
root@aixdce39: / >
$ /usr/krb5/bin/klist -k /etc/krb5/krb5.keytab
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------
3 host/solsarpc2.in.ibm.com@AIX_KDC
root@aixdce39: / >
$ cd /etc/krb5
root@aixdce39: /etc/krb5 >
$ ftp solsarpc2.in.ibm.com
Connected to solsarpc2.in.ibm.com.
220 solsarpc2 FTP server ready.
Name (solsarpc2.in.ibm.com:root): root
331 Password required for root.
Password:
230 User root logged in.
ftp> cd /etc/krb5
250 CWD command successful.
ftp> binary
200 Type set to I.
ftp> mput krb5.keytab
mput krb5.keytab? y
200 PORT command successful.
150 Opening BINARY mode data connection for krb5.keytab.
226 Transfer complete.
306 bytes sent in 0.1978 seconds (1.511 Kbytes/s)
local: krb5.keytab remote: krb5.keytab
ftp> bye
221-You have transferred 306 bytes in 1 files.
221-Total traffic for this session was 842 bytes in 1 transfers.
221-Thank you for using the FTP service on solsarpc2.
221 Goodbye.
root@aixdce39: /etc/krb5 >
我们选择确立 Triple DES 加密规范的 host/solsarpc2.in.ibm.com 任同族儿体,因为 AIX 和 Solaris Kerberos 都支持这种规范。假设希望选择其他的加密规范,您必须确保 IBM NAS 和 SUN Kerberos 可以概略支持这些加密规范。
确立 Kerberos 主体和照应的 Solaris 用户
下一步,让我们确立用于登录到 Solaris 10 谋略机的 Kerberos 主体。您可以运用 kadmin 器械确立这个 Kerberos 主体,IBM NAS for AIX 中附带了 kadmin 器械。有关 kadmin 器械的详细信息,请参阅 AIX Expansion CD 中的 IBM NAS Administration Guide。
在我们的设置中,我们确立了一个称为 sandeep 的 Kerberos 主体,如清单 5 所示,以及照应的 Solaris 10 用户,如清单 6 所示。为了议决上面的设置,使得 Solaris 10 谋略机的 root 用户可以概略运用 telnet/ssh/rlogin 举办登录,您需要确立一个 root/
版权声明:
原创作品,许可转载,转载时请务必以超链接方法标明文章 原始原因 、作者信息和本声明。不然将清查执法责任。