Solaris 10完成安静Kerberos身份验证(2)

作者: 佚名 理由:IBM DW中国　
 
 
清单 5. 在承载 KDC 的 AIX 盘算机上运用 kadmin 器械创立 Kerberos 主体

$ hostname
aixdce39.in.ibm.com
root@aixdce39: / >
$ /usr/krb5/bin/kinit admin/admin
Password for admin/admin@AIX_KDC:
root@aixdce39: / >
$ /usr/krb5/sbin/kadmin
Authenticating as principal admin/admin@AIX_KDC with password.
Password for admin/admin@AIX_KDC:
kadmin:  add_principal sandeep
WARNING: no policy specified for sandeep@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "sandeep@AIX_KDC":
Re-enter password for principal "sandeep@AIX_KDC":
Principal "sandeep@AIX_KDC" created.
kadmin:  add_principal root/solsarpc2.in.ibm.com
WARNING: no policy specified for root/solsarpc2.in.ibm.com@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Re-enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Principal "root/solsarpc2.in.ibm.com@AIX_KDC" created.
kadmin:  q
root@aixdce39: / >
$

清单 6. 在 Solaris 盘算机上创立 Solaris 10 用户

/> hostname
solsarpc2
/> who am i
root       pts/4        Sep 21 15:26    (RSANDEEP1.in.ibm.com)
/> useradd -m -d /export/home/sandeep sandeep
64 blocks
/> passwd sandeep
New Password:
Re-enter new Password:
passwd: password successfully changed for sandeep

在 Solaris 10 上对 ssh/telnet/rlogin 中缀 Kerberized 身份验证所需的拔出式验证模块 (Pluggable Authentication Module) 的设置

编纂 /etc/pam.conf 文件，以便使得 Telnet、SSH 和 rlogin 运用 Kerberos 作为其身份验证模块。如上面的清单 7 所示，在 /etc/pam.conf 文件中添加呼应的条目，以便为 SSH、Telnet 和 rlogin 敕令启用 Kerberos 身份验证。我们提倡打点员应该丰裕大白 Solaris 拔出式验证模块 (PAM) 和 /etc/pam.conf 文件的运用（可以参考 Solaris 10 中关于 pam.conf 和 sshd 的 man 页面），然后将其映射为身份验证需求，并在 /etc/pam.conf 文件中修改呼应的条目。

清单 7. 在 Solaris 盘算机上设置 pam.conf 文件

sshd-kbdint   auth sufficient pam_krb5.so.1
telnet        auth sufficient pam_krb5.so.1
rlogin        auth sufficient pam_krb5.so.1

在完成了设置事情之后，您就可以将 Kerberized 效能用于差别的通讯效能。要对设置中缀测试，可以在供给了 telnet/rlogin/ssh 的任何盘算机上运用这些器械登录到 Solaris 10 盘算机。告成衔接之后，将会提示您输入 Kerberos 登录名和定名。您须要输入 Kerberos 主体及其讨论相关的 Kerberos 密码。

清单 8、9 和 10 表现了运用 Kerberos 主体 sandeep 从 AIX 盘算机运用 SSH、Telnet 和 rlogin 敕令登录到 Solaris 盘算机的测试结果。您还可以运用 Windows 本机的 Telnet 运用程序和 PuTTY for Windows（一种收费的 telnet/ssh/rlogin 客户端）从 Windows® XP 盘算机登录到 Solaris 10 盘算机，以便对 Kerberized 身份验证中缀测试。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized SSH

清单 8 表现了 aixdce1.in.ibm.com 上所执行的敕令序列，该敕令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效能器作为 KDC），树立了到 solsarpc2.in.ibm.com 的 SSH 衔接。

清单 8. 运用 Kerberos 身份验证的告成的 SSH 的示例输入

$hostname
aixdce1.in.ibm.com
$whoami
manish
$ssh sandeep@solsarpc2.in.ibm.com
Enter Kerberos password for sandeep:
Last login: Wed Sep 20 12:58:40 2006 from aixdce1.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ hostname
solsarpc2
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep    pts/3        Sep 20 13:00    (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection to solsarpc2.in.ibm.com closed.
$hostname
aixdce1.in.ibm.com
$

若是在执行上述设置后，在运用 Kerberos 中缀 SSH 衔接时存在任何问题，可以在 /etc/hosts 中添加该盘算机的完全限定的域名，然后中缀重试。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized Telnet

清单 9 表现了 aixdce1.in.ibm.com 上所执行的敕令序列，该敕令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效能器作为 KDC），树立了到 solsarpc2.in.ibm.com 的 Telnet 访问。

清单 9. 运用 Kerberos 身份验证的告成的 Telnet 的示例输入

[root@aixdce1 / ] #hostname
aixdce1.in.ibm.com
[root@aixdce1 / ] #whoami
root
[root@aixdce1] #telnet solsarpc2.in.ibm.com
Trying...
Connected to 9.182.192.168.
Escape character is '^]'.
login: sandeep
Enter Kerberos password for sandeep:
Last login: Tue Sep 19 15:20:06 from RSANDEEP1.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep    pts/3        Sep 19 15:24    (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection closed.
[root@aixdce1] #hostname
aixdce1.in.ibm.com
[root@aixdce1] #

在缺省状态下，已启用了 Telnet 效能器并运转于 Solaris 10。若是没有，请参考 Solaris 10 中关于 telnetd 的 man 页面。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized rlogin

清单 10 表现了 aixdce1.in.ibm.com 上所执行的敕令序列，该敕令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效能器作为 KDC），树立了到 solsarpc2.in.ibm.com 的远程登录访问。

清单 10. 运用 Kerberos 身份验证的告成的 rlogin 的示例输入
    
[root@aixdce1 / ] #hostname
aixdce1.in.ibm.com
[root@aixdce1 / ] #whoami
root
[root@aixdce1 / ] #rlogin solsarpc2.in.ibm.com -l sandeep
Enter Kerberos password for sandeep:
Last login: Tue Sep 19 15:24:14 from aixdce39.in.ibm.com
Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !
$ hostname
solsarpc2
$ uname -a
SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240
$ who am i
sandeep    pts/3        Sep 19 15:31    (aixdce1.in.ibm.com)
$ pwd
/export/home/sandeep
$ exit
Connection closed.
[root@aixdce1 / ]hostname
aixdce1.in.ibm.com

在缺省状态下，已启用了 Telnet 效能器并运转于 Solaris 10。若是没有，请参考 Solaris 10 中关于 rlogind 的 man 页面。

总结

本文向打点员引见了怎样在 AIX Version 5.3 上设置 KDC，以及运用它来设置 Kerberized 状态，以便与 Solaris 10 协同事情。本文还说了然怎样运用它为差别典范榜样的通讯中缀身份验证。该内容可以帮忙打点员运用单个 AIX KDC 完身差别操纵零碎的身份验证。要熟悉怎样为 Windows 设置 AIX KDC，请参见参考材料部分。




版权声明： 原创作品，允许转载，转载时请务必以超链接体式格局标明文章 原始理由 、作者信息和本声明。否则将追查法令责任。