zoukankan      html  css  js  c++  java
  • Solaris 10完成安好Kerberos身份验证(1)

    作者: 佚名 来由:IBM DW中国 
     
    阅读提醒:跟着安好需求的日益增长,今朝的企业需求易于维护的安好机制,但是这些安好机制必须为其供给一个安好的情况。


    设置 Kerberized 情况以便与 Solaris(TM) 10 协同事情,熟悉若何在 AIX(R) Version 5.3 中设置配备陈设密钥分发中心 (KDC)。您还将赏识在 Solaris 10 中设置配备陈设 Kerberos 客户端的一系列步骤,以运用 AIX Version 5.3 作为 KDC 对 Telnet、远程 Shell (rsh) 和安好 Shell (SSH) 的用户截至身份验证。在差其他平台之间运用单个 AIX IBM Network Authentication Service (NAS) KDC 截至身份验证非常有用,尤其是在夹杂情况中。

    弁言

    跟着安好需求的日益增长,今朝的企业需求易于维护的安好机制,但是这些安好机制必须为其供给一个安好的情况。安好机制需求供给弱小年夜的身份验证特性以及失密性和其他的特性,比方单点登录 (SSO)。Kerberos 恰是如许的一种身份验证协议,它经由议定在称为密钥分发中心 (KDC) 的中心存储库中存储相关信息的数据库,从而供给集中式的身份验证。

    今朝,一切的供给商都具有其本人的 Kerberos 完成。在夹杂情况中,这些 Kerberos 完成之间必须可以截至 互把持。Solaris™ 在其 Sun Enterprise Authentication Mechanism™ (SEAM) 软件中供给了 Kerberos Version 5 协议的完成,而 IBM 的 Kerberos 完成是 IBM Network Authentication Service (NAS)。正如 Sun Solaris 10 的文档(请拜见参考材料部分)中剖析的,Solaris 10 中包括了 SEAM 产物的一切构成部分,以是不再需求运用 SEAM。

    本文将向您介绍在 Solaris 10 中设置配备陈设 Kerberos 客户端所需的步骤,以便行使 AIX® Version 5.3 作为 KDC,对运用常用通讯管事的用户截至身份验证,如 Telnet、远程 Shell (rsh) 和安好 Shell (SSH)。在夹杂情况中,可以运用单个 AIX IBM NAS KDC 截至差异平台的身份验证,管理员将可以从中受害。

    运用 AIX Version 5.3 在 Solaris 10 中完成 Kerberized 身份验证

    本部分介绍了将 AIX Version 5.3 设置配备陈设作为 KDC 以及在 Solaris 10 中设置配备陈设 Kerberos 客户端所需的步骤。上面是在示例中运用到的一些界说:

    Kerberos Realm Name / Domain Name                  AIX_KDC
    IBM NAS1.4 KDC                                     hostname: aixdce39.in.ibm.com,  OS:
    AIX Version 5.3
    SSH/telnet/rlogin Server                           hostname: solsarpc2.in.ibm.com, OS:
    Solaris 10
    Solaris 10 Kerberos Client                         hostname: solsarpc2.in.ibm.com, OS:
    Solaris 10
    SSH/telnet/rlogin client                           hostname: aixdce1.in.ibm.com,   OS:
    AIX Version 5.3
    Windows test machine(with rsh/SSH/telnet client)   hostname: winsarpc2.in.ibm.com, OS:
    Windows XP


    上面的图 1 体现了示例的设置。

    498)this.style.width=498;" twffan="done">

    图 1. 示例设置

    在 AIX V5.3 中设置配备陈设 IBM NAS KDC 

    要实行清单 1 中的命令,请安置 IBM NAS krb5.server.rte 文件集。AIX Version 5.3 Expansion Pack CD 中供给了 IBM NAS 文件集。


    清单 1. 安装 IBM NAS 文件集
    [root@aixdce39 / ]# hostname
    aixdce39.in.ibm.com

    [root@aixdce39 / ]# installp -aqXYgd  .  krb5.server
    [root@aixdce39 / ]# echo 'export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH' > ~/.profile

    实行清单 2 中的命令,以便在 AIX 谋略机中对 IBM NAS 管事器的遗留设置配备陈设截至设置配备陈设。关于其他范例的 IBM NAS 管事器设置配备陈设,请参阅 AIX Version 5.3 Expansion Pack CD 中附带的 IBM NAS1.4 Administration Guide。

    清单 2. 设置配备陈设遗留设置配备陈设

    [root@aixdce39 / ]# hostname
    aixdce39.in.ibm.com

    [root@aixdce39 / ]# /usr/krb5/sbin/config.krb5 -S -d in.ibm.com -r
    AIX_KDC

    Initializing configuration...
    Creating /etc/krb5/krb5_cfg_type...
    Creating /etc/krb5/krb5.conf...
    Creating /var/krb5/krb5kdc/kdc.conf...
    Creating database files...
    Initializing database '/var/krb5/krb5kdc/principal' for realm 'AIX_KDC'
    master key name 'K/M@AIX_KDC'
    You are prompted for the database Master Password.
    It is important that you DO NOT FORGET this password.
    Enter database Master Password:
    Re-enter database Master Password to verify:
    WARNING: no policy specified for admin/admin@AIX_KDC;
    defaulting to no policy. Note that policy may be overridden by
    ACL restrictions.
    Enter password for principal "admin/admin@AIX_KDC":
    Re-enter password for principal "admin/admin@AIX_KDC":
    Principal "admin/admin@AIX_KDC" created.
    Creating keytable...
    Creating /var/krb5/krb5kdc/kadm5.acl...
    Starting krb5kdc...
    krb5kdc was started successfully.
    Starting kadmind...
    kadmind was started successfully.
    The command completed successfully.       

    设置配备陈设 Solaris 10 Kerberos 客户端

    在 Solaris 10 中,该把持系统缺省情鱿绿峁┝?Kerberos 客户端,这是与畴前版本的差异之处,畴前的版本中附带了一个称为 SEAM 的零丁的组件。要在 Solaris 10 中设置配备陈设 Kerberos 客户端,至少需求创设一个合适的 /etc/krb5/krb5.conf 文件。清单 3 体现了 krb5.conf 文件的内容,我们将在 Solaris 10 谋略机的 Kerberos 客户端运用这个文件。

    我们发起管理员依据其需求创设 /etc/krb5/krb5.conf 文件。有关 Solaris 10 的 krb5.conf 的过细信息,请拜见参考材料部分。

    清单 3. Solaris 谋略机中 krb5.conf 文件的内容

    /> hostname
    solsarpc2
    /> cat /etc/krb5/krb5.conf
    [libdefaults]
    default_realm = AIX_KDC
    default_keytab_name = FILE:/etc/krb5/krb5.keytab
    default_tkt_enctypes = des3-cbc-sha1
    default_tgs_enctypes = des3-cbc-sha1

    [realms]
    AIX_KDC = {
    kdc = aixdce39.in.ibm.com:88
    admin_server = aixdce39.in.ibm.com:749
    default_domain = in.ibm.com
    }


    [domain_realm]
    .in.ibm.com = AIX_KDC
    aixdce39.in.ibm.com = AIX_KDC

    [logging]
    kdc = FILE:/var/krb5/log/krb5kdc.log
    admin_server = FILE:/var/krb5/log/kadmin.log
    default = FILE:/var/krb5/log/krb5lib.log     

    要为 Solaris 10 谋略机设置配备陈设 Kerberized 身份验证,您需求将用于这台 Solaris 谋略机的 Kerberos 管事主体的范例设置为 host/(在本示例中为 host/solsarpc2.in.ibm.com),并将其放入 Solaris 谋略机上的 keytab 文件中。请注意,keytab 文件的缺省位置是 /etc/krb5/krb5.keytab。

    在 keytab 文件中创设管事主体条款的举措有很多种。清单 4 体现了此中一种举措,创设 Kerberos 管事主体,并运用承载 KDC 的 AIX 谋略机中的 IBM NAS 供给的 kadmin 对象将其条款添加到 keytab 文件中。然后运用 FTP 将 keytab 文件从 AIX 谋略机传输到合适的 Solaris 谋略机。Kerberos 适用对象,如 ktutil,在需求的情况下也可以用来完成雷同的任务。

    清单 4. 创设 krb5.keytab 文件

    root@aixdce39: / >
    $ hostname
    aixdce39.in.ibm.com
    root@aixdce39: / >
    $ /usr/krb5/bin/kinit admin/admin
    Password for admin/admin@AIX_KDC:
    root@aixdce39: / >
    $ /usr/krb5/bin/klist
    Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
    Default principal:  admin/admin@AIX_KDC

    Valid starting     Expires            Service principal
    09/20/06 07:24:41  09/21/06 07:24:32  krbtgt/AIX_KDC@AIX_KDC
    root@aixdce39: / >
    $ /usr/krb5/sbin/kadmin
    Authenticating as principal admin/admin@AIX_KDC with password.
    Password for admin/admin@AIX_KDC:
    kadmin:  add_principal -e des3-cbc-sha1:normal -randkey host/solsarpc2.in.ibm.com
    WARNING: no policy specified for host/solsarpc2.in.ibm.com@AIX_KDC;
    defaulting to no policy. Note that policy may be overridden by
    ACL restrictions.
    Principal "host/solsarpc2.in.ibm.com@AIX_KDC" created.
    kadmin:  ktadd -e des3-cbc-sha1:normal host/solsarpc2.in.ibm.com
    Entry for principal host/solsarpc2.in.ibm.com with kvno 3, encryption type Triple DES
    cbc mode
    with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
    kadmin:
    kadmin:  q
    root@aixdce39: / >
    $ /usr/krb5/bin/klist -k /etc/krb5/krb5.keytab
    Keytab name:  FILE:/etc/krb5/krb5.keytab
    KVNO Principal
    ---- ---------
    3 host/solsarpc2.in.ibm.com@AIX_KDC
    root@aixdce39: / >
    $ cd /etc/krb5
    root@aixdce39: /etc/krb5 >
    $ ftp solsarpc2.in.ibm.com
    Connected to solsarpc2.in.ibm.com.
    220 solsarpc2 FTP server ready.
    Name (solsarpc2.in.ibm.com:root): root
    331 Password required for root.
    Password:
    230 User root logged in.
    ftp> cd /etc/krb5
    250 CWD command successful.
    ftp> binary
    200 Type set to I.
    ftp> mput krb5.keytab
    mput krb5.keytab? y
    200 PORT command successful.
    150 Opening BINARY mode data connection for krb5.keytab.
    226 Transfer complete.
    306 bytes sent in 0.1978 seconds (1.511 Kbytes/s)
    local: krb5.keytab remote: krb5.keytab
    ftp> bye
    221-You have transferred 306 bytes in 1 files.
    221-Total traffic for this session was 842 bytes in 1 transfers.
    221-Thank you for using the FTP service on solsarpc2.
    221 Goodbye.
    root@aixdce39: /etc/krb5 >

    我们选择创设 Triple DES 加密范例的 host/solsarpc2.in.ibm.com 管事主体,由于 AIX 和 Solaris Kerberos 都支持这种范例。若是希望选择其他的加密范例,您必须确保 IBM NAS 和 SUN Kerberos 可以支持这些加密范例。

    创设 Kerberos 主体和响应的 Solaris 用户

    下一步,让我们创设用于登录到 Solaris 10 谋略机的 Kerberos 主体。您可以运用 kadmin 对象创设这个 Kerberos 主体,IBM NAS for AIX 中附带了 kadmin 对象。有关 kadmin 对象的过细信息,请参阅 AIX Expansion CD 中的 IBM NAS Administration Guide。

    在我们的设置中,我们创设了一个称为 sandeep 的 Kerberos 主体,如清单 5 所示,以及响应的 Solaris 10 用户,如清单 6 所示。为了经由议定上面的设置,使得 Solaris 10 谋略机的 root 用户可以运用 telnet/ssh/rlogin 截至登录,您需求创设一个 root/ 范例的 Kerberos 主体。在本示例中,您需求创设一个称为 root/solsarpc2.in.ibm.com 的 Kerberos 主体,如下所示。




    版权声明: 原创作品,允许转载,转载时请务必以超链接体式款式标明文章 原始来由 、作者信息和本声明。否则将清查法则责任。

  • 相关阅读:
    django-带参数路由
    django-获取购物车商品数量-redis
    django-配置静态页面-celery/redis/nginx
    django-自定义文件上传存储类
    django-安装nginx及fastdfs-nginx-module
    linux压缩和解压缩命令
    django-文件上传和下载--fastDFS安装和配置
    django-缓存django-redis
    django-改写manage类-objects
    django-登录后得个人信息
  • 原文地址:https://www.cnblogs.com/zgqjymx/p/1974845.html
Copyright © 2011-2022 走看看