作者: 佚名 来由:IBM DW中国
阅读提醒:跟着安好需求的日益增长,今朝的企业需求易于维护的安好机制,但是这些安好机制必须为其供给一个安好的情况。
设置 Kerberized 情况以便与 Solaris(TM) 10 协同事情,熟悉若何在 AIX(R) Version 5.3 中设置配备陈设密钥分发中心 (KDC)。您还将赏识在 Solaris 10 中设置配备陈设 Kerberos 客户端的一系列步骤,以运用 AIX Version 5.3 作为 KDC 对 Telnet、远程 Shell (rsh) 和安好 Shell (SSH) 的用户截至身份验证。在差其他平台之间运用单个 AIX IBM Network Authentication Service (NAS) KDC 截至身份验证非常有用,尤其是在夹杂情况中。
弁言
跟着安好需求的日益增长,今朝的企业需求易于维护的安好机制,但是这些安好机制必须为其供给一个安好的情况。安好机制需求供给弱小年夜的身份验证特性以及失密性和其他的特性,比方单点登录 (SSO)。Kerberos 恰是如许的一种身份验证协议,它经由议定在称为密钥分发中心 (KDC) 的中心存储库中存储相关信息的数据库,从而供给集中式的身份验证。
今朝,一切的供给商都具有其本人的 Kerberos 完成。在夹杂情况中,这些 Kerberos 完成之间必须可以截至 互把持。Solaris™ 在其 Sun Enterprise Authentication Mechanism™ (SEAM) 软件中供给了 Kerberos Version 5 协议的完成,而 IBM 的 Kerberos 完成是 IBM Network Authentication Service (NAS)。正如 Sun Solaris 10 的文档(请拜见参考材料部分)中剖析的,Solaris 10 中包括了 SEAM 产物的一切构成部分,以是不再需求运用 SEAM。
本文将向您介绍在 Solaris 10 中设置配备陈设 Kerberos 客户端所需的步骤,以便行使 AIX® Version 5.3 作为 KDC,对运用常用通讯管事的用户截至身份验证,如 Telnet、远程 Shell (rsh) 和安好 Shell (SSH)。在夹杂情况中,可以运用单个 AIX IBM NAS KDC 截至差异平台的身份验证,管理员将可以从中受害。
运用 AIX Version 5.3 在 Solaris 10 中完成 Kerberized 身份验证
本部分介绍了将 AIX Version 5.3 设置配备陈设作为 KDC 以及在 Solaris 10 中设置配备陈设 Kerberos 客户端所需的步骤。上面是在示例中运用到的一些界说:
Kerberos Realm Name / Domain Name AIX_KDC
IBM NAS1.4 KDC hostname: aixdce39.in.ibm.com, OS:
AIX Version 5.3
SSH/telnet/rlogin Server hostname: solsarpc2.in.ibm.com, OS:
Solaris 10
Solaris 10 Kerberos Client hostname: solsarpc2.in.ibm.com, OS:
Solaris 10
SSH/telnet/rlogin client hostname: aixdce1.in.ibm.com, OS:
AIX Version 5.3
Windows test machine(with rsh/SSH/telnet client) hostname: winsarpc2.in.ibm.com, OS:
Windows XP
上面的图 1 体现了示例的设置。
498)this.style.width=498;" twffan="done">
图 1. 示例设置
在 AIX V5.3 中设置配备陈设 IBM NAS KDC
要实行清单 1 中的命令,请安置 IBM NAS krb5.server.rte 文件集。AIX Version 5.3 Expansion Pack CD 中供给了 IBM NAS 文件集。
清单 1. 安装 IBM NAS 文件集
[root@aixdce39 / ]# hostname
aixdce39.in.ibm.com
[root@aixdce39 / ]# installp -aqXYgd . krb5.server
[root@aixdce39 / ]# echo 'export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH' > ~/.profile
实行清单 2 中的命令,以便在 AIX 谋略机中对 IBM NAS 管事器的遗留设置配备陈设截至设置配备陈设。关于其他范例的 IBM NAS 管事器设置配备陈设,请参阅 AIX Version 5.3 Expansion Pack CD 中附带的 IBM NAS1.4 Administration Guide。
清单 2. 设置配备陈设遗留设置配备陈设
[root@aixdce39 / ]# hostname
aixdce39.in.ibm.com
[root@aixdce39 / ]# /usr/krb5/sbin/config.krb5 -S -d in.ibm.com -r
AIX_KDC
Initializing configuration...
Creating /etc/krb5/krb5_cfg_type...
Creating /etc/krb5/krb5.conf...
Creating /var/krb5/krb5kdc/kdc.conf...
Creating database files...
Initializing database '/var/krb5/krb5kdc/principal' for realm 'AIX_KDC'
master key name 'K/M@AIX_KDC'
You are prompted for the database Master Password.
It is important that you DO NOT FORGET this password.
Enter database Master Password:
Re-enter database Master Password to verify:
WARNING: no policy specified for admin/admin@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "admin/admin@AIX_KDC":
Re-enter password for principal "admin/admin@AIX_KDC":
Principal "admin/admin@AIX_KDC" created.
Creating keytable...
Creating /var/krb5/krb5kdc/kadm5.acl...
Starting krb5kdc...
krb5kdc was started successfully.
Starting kadmind...
kadmind was started successfully.
The command completed successfully.
设置配备陈设 Solaris 10 Kerberos 客户端
在 Solaris 10 中,该把持系统缺省情鱿绿峁┝?Kerberos 客户端,这是与畴前版本的差异之处,畴前的版本中附带了一个称为 SEAM 的零丁的组件。要在 Solaris 10 中设置配备陈设 Kerberos 客户端,至少需求创设一个合适的 /etc/krb5/krb5.conf 文件。清单 3 体现了 krb5.conf 文件的内容,我们将在 Solaris 10 谋略机的 Kerberos 客户端运用这个文件。
我们发起管理员依据其需求创设 /etc/krb5/krb5.conf 文件。有关 Solaris 10 的 krb5.conf 的过细信息,请拜见参考材料部分。
清单 3. Solaris 谋略机中 krb5.conf 文件的内容
/> hostname
solsarpc2
/> cat /etc/krb5/krb5.conf
[libdefaults]
default_realm = AIX_KDC
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des3-cbc-sha1
default_tgs_enctypes = des3-cbc-sha1
[realms]
AIX_KDC = {
kdc = aixdce39.in.ibm.com:88
admin_server = aixdce39.in.ibm.com:749
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = AIX_KDC
aixdce39.in.ibm.com = AIX_KDC
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
要为 Solaris 10 谋略机设置配备陈设 Kerberized 身份验证,您需求将用于这台 Solaris 谋略机的 Kerberos 管事主体的范例设置为 host/
在 keytab 文件中创设管事主体条款的举措有很多种。清单 4 体现了此中一种举措,创设 Kerberos 管事主体,并运用承载 KDC 的 AIX 谋略机中的 IBM NAS 供给的 kadmin 对象将其条款添加到 keytab 文件中。然后运用 FTP 将 keytab 文件从 AIX 谋略机传输到合适的 Solaris 谋略机。Kerberos 适用对象,如 ktutil,在需求的情况下也可以用来完成雷同的任务。
清单 4. 创设 krb5.keytab 文件
root@aixdce39: / >
$ hostname
aixdce39.in.ibm.com
root@aixdce39: / >
$ /usr/krb5/bin/kinit admin/admin
Password for admin/admin@AIX_KDC:
root@aixdce39: / >
$ /usr/krb5/bin/klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: admin/admin@AIX_KDC
Valid starting Expires Service principal
09/20/06 07:24:41 09/21/06 07:24:32 krbtgt/AIX_KDC@AIX_KDC
root@aixdce39: / >
$ /usr/krb5/sbin/kadmin
Authenticating as principal admin/admin@AIX_KDC with password.
Password for admin/admin@AIX_KDC:
kadmin: add_principal -e des3-cbc-sha1:normal -randkey host/solsarpc2.in.ibm.com
WARNING: no policy specified for host/solsarpc2.in.ibm.com@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Principal "host/solsarpc2.in.ibm.com@AIX_KDC" created.
kadmin: ktadd -e des3-cbc-sha1:normal host/solsarpc2.in.ibm.com
Entry for principal host/solsarpc2.in.ibm.com with kvno 3, encryption type Triple DES
cbc mode
with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
kadmin: q
root@aixdce39: / >
$ /usr/krb5/bin/klist -k /etc/krb5/krb5.keytab
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------
3 host/solsarpc2.in.ibm.com@AIX_KDC
root@aixdce39: / >
$ cd /etc/krb5
root@aixdce39: /etc/krb5 >
$ ftp solsarpc2.in.ibm.com
Connected to solsarpc2.in.ibm.com.
220 solsarpc2 FTP server ready.
Name (solsarpc2.in.ibm.com:root): root
331 Password required for root.
Password:
230 User root logged in.
ftp> cd /etc/krb5
250 CWD command successful.
ftp> binary
200 Type set to I.
ftp> mput krb5.keytab
mput krb5.keytab? y
200 PORT command successful.
150 Opening BINARY mode data connection for krb5.keytab.
226 Transfer complete.
306 bytes sent in 0.1978 seconds (1.511 Kbytes/s)
local: krb5.keytab remote: krb5.keytab
ftp> bye
221-You have transferred 306 bytes in 1 files.
221-Total traffic for this session was 842 bytes in 1 transfers.
221-Thank you for using the FTP service on solsarpc2.
221 Goodbye.
root@aixdce39: /etc/krb5 >
我们选择创设 Triple DES 加密范例的 host/solsarpc2.in.ibm.com 管事主体,由于 AIX 和 Solaris Kerberos 都支持这种范例。若是希望选择其他的加密范例,您必须确保 IBM NAS 和 SUN Kerberos 可以支持这些加密范例。
创设 Kerberos 主体和响应的 Solaris 用户
下一步,让我们创设用于登录到 Solaris 10 谋略机的 Kerberos 主体。您可以运用 kadmin 对象创设这个 Kerberos 主体,IBM NAS for AIX 中附带了 kadmin 对象。有关 kadmin 对象的过细信息,请参阅 AIX Expansion CD 中的 IBM NAS Administration Guide。
在我们的设置中,我们创设了一个称为 sandeep 的 Kerberos 主体,如清单 5 所示,以及响应的 Solaris 10 用户,如清单 6 所示。为了经由议定上面的设置,使得 Solaris 10 谋略机的 root 用户可以运用 telnet/ssh/rlogin 截至登录,您需求创设一个 root/
版权声明:
原创作品,允许转载,转载时请务必以超链接体式款式标明文章 原始来由 、作者信息和本声明。否则将清查法则责任。