作者: 佚名 出处:IBM DW中国
清单 5. 在承载 KDC 的 AIX 打定机上运用 kadmin 对象创建 Kerberos 主体
$ hostname
aixdce39.in.ibm.com
root@aixdce39: / >
$ /usr/krb5/bin/kinit admin/admin
Password for admin/admin@AIX_KDC:
root@aixdce39: / >
$ /usr/krb5/sbin/kadmin
Authenticating as principal admin/admin@AIX_KDC with password.
Password for admin/admin@AIX_KDC:
kadmin: add_principal sandeep
WARNING: no policy specified for sandeep@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "sandeep@AIX_KDC":
Re-enter password for principal "sandeep@AIX_KDC":
Principal "sandeep@AIX_KDC" created.
kadmin: add_principal root/solsarpc2.in.ibm.com
WARNING: no policy specified for root/solsarpc2.in.ibm.com@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Re-enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Principal "root/solsarpc2.in.ibm.com@AIX_KDC" created.
kadmin: q
root@aixdce39: / >
$
清单 6. 在 Solaris 打定机上创建 Solaris 10 用户
/> hostname
solsarpc2
/> who am i
root pts/4 Sep 21 15:26 (RSANDEEP1.in.ibm.com)
/> useradd -m -d /export/home/sandeep sandeep
64 blocks
/> passwd sandeep
New Password:
Re-enter new Password:
passwd: password successfully changed for sandeep
在 Solaris 10 上对 ssh/telnet/rlogin 举办 Kerberized 身份验证所需的拔出式验证模块 (Pluggable Authentication Module) 的设置配备铺排
编辑 /etc/pam.conf 文件,以便使得 Telnet、SSH 和 rlogin 运用 Kerberos 作为其身份验证模块。如上面的清单 7 所示,在 /etc/pam.conf 文件中添加呼应的条款,以便为 SSH、Telnet 和 rlogin 饬令启用 Kerberos 身份验证。我们创议经管员应该富余邃晓 Solaris 拔出式验证模块 (PAM) 和 /etc/pam.conf 文件的运用(可以参考 Solaris 10 中关于 pam.conf 和 sshd 的 man 页面),然后将其映射为身份验证需求,并在 /etc/pam.conf 文件中批改呼应的条款。
清单 7. 在 Solaris 打定机上设置 pam.conf 文件
sshd-kbdint auth sufficient pam_krb5.so.1
telnet auth sufficient pam_krb5.so.1
rlogin auth sufficient pam_krb5.so.1
在完成了设置工作之后,您就可以将 Kerberized 效力用于差异的通讯效力。要对设置举办测试,可以在供给了 telnet/rlogin/ssh 的任何打定机上运用这些对象登录到 Solaris 10 打定机。告成衔接之后,将会提醒您输出 Kerberos 登录名和命名。您需求输出 Kerberos 主体及其联系相干的 Kerberos 暗码。
清单 8、9 和 10 体现了运用 Kerberos 主体 sandeep 从 AIX 打定机运用 SSH、Telnet 和 rlogin 饬令登录到 Solaris 打定机的测试成果。您还可以运用 Windows 本机的 Telnet 使用法度圭表标准和 PuTTY for Windows(一种免费的 telnet/ssh/rlogin 客户端)从 Windows® XP 打定机登录到 Solaris 10 打定机,以便对 Kerberized 身份验证举办测试。
运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized SSH
清单 8 体现了 aixdce1.in.ibm.com 上所执行的饬令序列,该饬令序列运用 Kerberos 作为身份验证机制(将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC),创建了到 solsarpc2.in.ibm.com 的 SSH 衔接。
清单 8. 运用 Kerberos 身份验证的告成的 SSH 的示例输出
$hostname
aixdce1.in.ibm.com
$whoami
manish
$ssh sandeep@solsarpc2.in.ibm.com
Enter Kerberos password for sandeep:
Last login: Wed Sep 20 12:58:40 2006 from aixdce1.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ hostname
solsarpc2
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep pts/3 Sep 20 13:00 (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection to solsarpc2.in.ibm.com closed.
$hostname
aixdce1.in.ibm.com
$
若是在执行上述设置后,在运用 Kerberos 举办 SSH 衔接时存在任何成绩,可以在 /etc/hosts 中添加该打定机的完全限制的域名,然后举办重试。
运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized Telnet
清单 9 体现了 aixdce1.in.ibm.com 上所执行的饬令序列,该饬令序列运用 Kerberos 作为身份验证机制(将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC),创建了到 solsarpc2.in.ibm.com 的 Telnet 访问。
清单 9. 运用 Kerberos 身份验证的告成的 Telnet 的示例输出
[root@aixdce1 / ] #hostname
aixdce1.in.ibm.com
[root@aixdce1 / ] #whoami
root
[root@aixdce1] #telnet solsarpc2.in.ibm.com
Trying...
Connected to 9.182.192.168.
Escape character is '^]'.
login: sandeep
Enter Kerberos password for sandeep:
Last login: Tue Sep 19 15:20:06 from RSANDEEP1.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep pts/3 Sep 19 15:24 (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection closed.
[root@aixdce1] #hostname
aixdce1.in.ibm.com
[root@aixdce1] #
在缺省情况下,已启用了 Telnet 效力器并运转于 Solaris 10。若是没有,请参考 Solaris 10 中关于 telnetd 的 man 页面。
运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized rlogin
清单 10 体现了 aixdce1.in.ibm.com 上所执行的饬令序列,该饬令序列运用 Kerberos 作为身份验证机制(将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC),创建了到 solsarpc2.in.ibm.com 的近程登录访问。
清单 10. 运用 Kerberos 身份验证的告成的 rlogin 的示例输出
[root@aixdce1 / ] #hostname
aixdce1.in.ibm.com
[root@aixdce1 / ] #whoami
root
[root@aixdce1 / ] #rlogin solsarpc2.in.ibm.com -l sandeep
Enter Kerberos password for sandeep:
Last login: Tue Sep 19 15:24:14 from aixdce39.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ hostname
solsarpc2
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep pts/3 Sep 19 15:31 (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection closed.
[root@aixdce1 / ]hostname
aixdce1.in.ibm.com
在缺省情况下,已启用了 Telnet 效力器并运转于 Solaris 10。若是没有,请参考 Solaris 10 中关于 rlogind 的 man 页面。
总结
本文向经管员引见了怎样在 AIX Version 5.3 上设置配备铺排 KDC,以及运用它来设置 Kerberized 情况,以便与 Solaris 10 协同工作。本文还申明了怎样运用它为差异圭表标准的通讯举办身份验证。该内容可以帮手经管员运用单个 AIX KDC 完成差异操纵系统的身份验证。要看法怎样为 Windows 设置配备铺排 AIX KDC,请拜见参考材料部门。
版权声明:
原创作品,允许转载,转载时请务必以超链接情势标明文章 原始出处 、作者信息和本声明。否则将追查法令责任。