設置 Kerberized 環境以便與 Solaris(TM) 10 協同工作,了解如何在 AIX(R) Version 5.3 中配置密鑰分發中心 (KDC)。您還將浏覽在 Solaris 10 中配置 Kerberos 客戶端的一系列步驟,以使用 AIX Version 5.3 作為 KDC 對 Telnet、遠程 Shell (rsh) 和安全 Shell (SSH) 的用戶進行身份驗證。在不同的平台之間使用單個 AIX IBM Network Authentication Service (NAS) KDC 進行身份驗證非常有用,尤其是在混合環境中。
引言
隨著安全需求的日益增長,現在的企業需要易於維護的安全機制,然而這些安全機制必須為其提供一個安全的環境。安全機制需要提供強大的身份驗證特性以及保密性和其他的特性,例如單點登錄 (SSO)。Kerberos 正是這樣的一種身份驗證協議,它通過在稱為密鑰分發中心 (KDC) 的中央存儲庫中存儲相關信息的數據庫,從而提供集中式的身份驗證。
現在,所有的供應商都具有其自己的 Kerberos 實現。在混合環境中,這些 Kerberos 實現之間必須能夠進行 互操作。Solaris™ 在其 Sun Enterprise Authentication Mechanism™ (SEAM) 軟件中提供了 Kerberos Version 5 協議的實現,而 IBM 的 Kerberos 實現是 IBM Network Authentication Service (NAS)。正如 Sun Solaris 10 的文檔(請參見參考資料部分)中說明的,Solaris 10 中包含了 SEAM 產品的所有組成部分,所以不再需要使用 SEAM。
本文將向您介紹在 Solaris 10 中配置 Kerberos 客戶端所需的步驟,以便利用 AIX® Version 5.3 作為 KDC,對使用常用通信服務的用戶進行身份驗證,如 Telnet、遠程 Shell (rsh) 和安全 Shell (SSH)。在混合環境中,可以使用單個 AIX IBM NAS KDC 進行不同平台的身份驗證,管理員將可以從中受益。
使用 AIX Version 5.3 在 Solaris 10 中實現 Kerberized 身份驗證
本部分介紹了將 AIX Version 5.3 配置作為 KDC 以及在 Solaris 10 中配置 Kerberos 客戶端所需的步驟。下面是在示例中使用到的一些定義:
Kerberos Realm Name / Domain Name AIX_KDC IBM NAS1.4 KDC hostname: aixdce39.in.ibm.com, OS: AIX Version 5.3 SSH/telnet/rlogin Server hostname: solsarpc2.in.ibm.com, OS: Solaris 10 Solaris 10 Kerberos Client hostname: solsarpc2.in.ibm.com, OS: Solaris 10 SSH/telnet/rlogin client hostname: aixdce1.in.ibm.com, OS: AIX Version 5.3 Windows test machine(with rsh/SSH/telnet client) hostname: winsarpc2.in.ibm.com, OS: Windows XP
下面的圖 1 顯示了示例的設置。
在 AIX V5.3 中配置 IBM NAS KDC
要執行清單 1 中的命令,請安裝 IBM NAS krb5.server.rte 文件集。AIX Version 5.3 Expansion Pack CD 中提供了 IBM NAS 文件集。
[root@aixdce39 / ]# hostname aixdce39.in.ibm.com [root@aixdce39 / ]# installp -aqXYgd . krb5.server [root@aixdce39 / ]# echo 'export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH' > ~/.profile
執行清單 2 中的命令,以便在 AIX 計算機中對 IBM NAS 服務器的遺留配置進行配置。對於其他類型的 IBM NAS 服務器配置,請參閱 AIX Version 5.3 Expansion Pack CD 中附帶的 IBM NAS1.4 Administration Guide。