在 AIX V6 上的 telnet FTP 和 r 命令中配置和启用 Kerberos 身份验证.docVIP

AIX 中的网络应用程序（例如，telnet、FTP 和 rlogin、rsh、rcp 等 r 命令）本身支持 Kerberos 身份验证。管理员需要完成的所有工作包括安装和配置 Kerberos，以及配置 AIX 系统以使用该 Kerberos 设置进行身份验证。Kerberos 身份验证表示一旦您拥有有效的 Kerberos 票证（通过手动 /usr/krb5/bin/kinit 或集成登录获得），网络应用程序可以使用该票证作为您的身份验证令牌，并且一旦成功通过身份验证，您不需要输入密码就可以获得访问权限。 基本配置 为了启用 Kerberos 身份验证，需要在 Kerberos 前端以及 AIX 系统上设置一些通用基本配置。让我们看一下这些配置。 Kerberos 配置 让一台服务器计算机作为 Kerberos 主密钥分发中心（Key Distribution Center，KDC）这台计算机将负责所有与 Kerberos 相关的任务，例如生成票证、对用户进行身份验证，等等。管理员需要在这台计算机上安装和配置 IBM Network attached storage (NAS)（优选使用 或更高版本）以作为主 KDC。 网络中的所有其他计算机（您将在这些计算机上使用 telnet、FTP 或 r 命令进行登录）安装和配置 IBM NAS，作为主 KDC 的客户端。 telnet/FTP 守护进程将在这些计算机上运行，您将从客户端连接到这台计算机上。在这些计算机上也安装和配置 IBM NAS，作为主 KDC 的客户端。 有关 IBM NAS 服务器和客户端安装和配置的完整说明，请参考 AIX Version 5.3 Expansion Pack CD 中附带的 IBM NAS Version 1.4 Administration Guide。 对于本文中的示例，我参考了示例 Kerberos 环境。图 1 显示了该环境和逻辑信息流。 图 1：显示 Kerberized telnet 操作的示例 本文通篇使用了下列定义：Kerberos 管理员名称：admin/adminKerberos 领域名称：ISL.IN.IBM.COMIBM NAS 主 KDC：主机名： 端口： 88操作系统：AIX 5.3IBM NAS 管理服务器：主机名： 端口： 749操作系统：AIX 5.3IBM NAS 客户端：主机名：操作系统：AIX 6.1运行 telnet 服务的计算机：主机名： 端口： 23操作系统：AIX 5.3运行 FTP 服务的计算机：主机名： 端口： 21操作系统：AIX 5.3 检查和同步所有计算机之间的时间差；误差不应超过 5 分钟。若要检查 Kerberos 配置的正确性，请使用 /usr/krb5/bin/kinit admin/admin，后跟 /usr/krb5/bin/klist 并查看是否能够获得 Kerberos 票证，然后使用 /usr/krb5/sbin/kadmin -p admin/admin 检查所有事项（时间差以及更多项目）是否正常。 AIX 身份验证配置 为了确保所有网络应用程序在进行基于密码的标准身份验证之前尝试 Kerberos 身份验证，管理员需要更改所有 AIX 计算机上的身份验证方法首选项。 /usr/bin/lsauthent 命令显示当前身份验证模式首选项。 bash-2.05b# /usr/bin/lsauthent Standard Aix 若要更改身份验证模式首选项，请使用 /usr/bin/chauthent 命令。 bash-2.05b# /usr/bin/chauthent -k5 -std 现在，/usr/bin/lsauthent 应显示类似下面的内容： bash-2.05b# /usr/bin/lsauthent Kerberos 5 Standard Aix 请务必保留基于密码的标准身份验证方法（上面的 –std）作为后备身份验证方法，否则如果无法启用正确的 Kerberos 登录，您将无法登录到系统。 为 telnet 服务配置 Kerberos 在 Kerberos 环境中，每个 Kerberos 服务是由服务主体表示的。此服务主体只是普通的 Kerberos 主体，其持有用于解密由 Kerberos 服务器发送的响应的密钥。对于 telnet 服务也是如此，您将需要在 telnet 服务器上创建 telnet 服务主体并执行一些配置步骤。 请执行下列分步步骤为 telnet 服务配置 Kerberos。