在 AIX V6 上的 telnet FTP 和 r 命令中配置和启用 Kerberos 身份验证Word格式.docx
- 文档编号:8110110
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:18
- 大小:32.40KB
在 AIX V6 上的 telnet FTP 和 r 命令中配置和启用 Kerberos 身份验证Word格式.docx
《在 AIX V6 上的 telnet FTP 和 r 命令中配置和启用 Kerberos 身份验证Word格式.docx》由会员分享,可在线阅读,更多相关《在 AIX V6 上的 telnet FTP 和 r 命令中配置和启用 Kerberos 身份验证Word格式.docx(18页珍藏版)》请在冰点文库上搜索。
ISL.IN.IBM.COM
IBMNAS1.4.0.7主KDC:
主机名:
端口:
88
操作系统:
AIX5.3
IBMNAS1.4.0.7管理服务器:
749
IBMNAS1.4.0.7客户端:
AIX6.1
运行telnet服务的计算机:
23
运行FTP服务的计算机:
21
检查和同步所有计算机之间的时间差;
误差不应超过5分钟。
若要检查Kerberos配置的正确性,请使用'
/usr/krb5/bin/kinitadmin/admin'
,后跟'
/usr/krb5/bin/klist'
并查看是否能够获得Kerberos票证,然后使用'
/usr/krb5/sbin/kadmin-padmin/admin'
检查所有事项(时间差以及更多项目)是否正常。
AIX身份验证配置
为了确保所有网络应用程序在进行基于密码的标准身份验证之前尝试Kerberos身份验证,管理员需要更改所有AIX计算机上的身份验证方法首选项。
'
/usr/bin/lsauthent'
命令显示当前身份验证模式首选项。
bash-2.05b#/usr/bin/lsauthent
StandardAix
若要更改身份验证模式首选项,请使用'
/usr/bin/chauthent'
命令。
bash-2.05b#/usr/bin/chauthent-k5-std
现在,'
应显示类似下面的内容:
Kerberos5
请务必保留基于密码的标准身份验证方法(上面的–std)作为后备身份验证方法,否则如果无法启用正确的Kerberos登录,您将无法登录到系统。
为telnet服务配置Kerberos
在Kerberos环境中,每个Kerberos服务是由服务主体表示的。
此服务主体只是普通的Kerberos主体,其持有用于解密由Kerberos服务器发送的响应的密钥。
对于telnet服务也是如此,您将需要在telnet服务器上创建telnet服务主体并执行一些配置步骤。
请执行下列分步步骤为telnet服务配置Kerberos。
如果您已经使用AIX'
mkkrb5clnt'
命令配置了Kerberos客户端,那么您不需要执行步骤1和2。
命令创建host服务主体并将其存储在/var/krb5/security/keytab/<
hostname>
.keytab文件中。
将此文件链接到缺省keytab文件/etc/krb5/krb5.keytab。
1.在运行telnet服务的计算机()上,创建名为“host/<
FQDN_telnetd_hostname>
”的telnet服务主体。
对于本例,它将是“host/”。
使用完全限定域名(FullyQualifiedDomainName,FQDN)对于此设置的正常工作非常关键。
bash-2.05b#hostname
bash-2.05b#kadmin-padmin/admin
Authenticatingasprincipaladmin/adminwithpassword.
Passwordforadmin/admin@ISL.IN.IBM.COM:
kadmin:
addprinc-randkeyhost/
WARNING:
nopolicyspecifiedforhost/@ISL.IN.IBM.COM;
defaultingtonopolicy.Notethatpolicymaybeoverriddenby
ACLrestrictions.
Principal"
host/@ISL.IN.IBM.COM"
created.
2.将telnet服务主体添加到keytab文件(/etc/krb5/krb5.keytab)中。
ktaddhost/
Entryforprincipalhost/withkvno3,encryptiontypeTripleDES
cbc
modewithHMAC/sha1addedtokeytabWRFILE:
/etc/krb5/krb5.keytab.
Entryforprincipalhost/withkvno3,encryptiontypeArcFour
with
HMAC/md5addedtokeytabWRFILE:
Entryforprincipalhost/withkvno3,encryptiontypeAES-256
CTSmode
with96-bitSHA-1HMACaddedtokeytabWRFILE:
Entryforprincipalhost/withkvno3,encryptiontypeDEScbc
mode
withRSA-MD5addedtokeytabWRFILE:
Entryforprincipalhost/withkvno3,encryptiontypeAES-128
q
bash-2.05b#
如果由于某种原因无法运行“kadmin”,则在KDC上创建服务主体并添加到keytab文件(/etc/krb5/krb5.keytab)中,然后将该keytab文件传送到运行telnetd的计算机(对于本例,是)上。
3.在运行telnet服务的计算机()上,运行'
/usr/krb5/bin/klist-k'
并检查条目。
bash-2.05b#/usr/krb5/bin/klist-k
Keytabname:
FILE:
/etc/krb5/krb5.keytab
KVNOPrincipal
-------------
3host/@ISL.IN.IBM.COM
4.
5.在运行telnet服务的计算机()上,创建新用户“vipin”,您将使用该用户远程登录到fsaix005。
更改该用户的密码。
bash-2.05b#mkuser-Rfilesvipin
bash-2.05b#passwdvipin
Changingpasswordfor"
vipin"
vipin'
sNewpassword:
Enterthenewpasswordagain:
6.
7.创建具有相同名称“vipin”的Kerberos主体。
可以从Kerberos领域中的任何计算机(主KDC或客户机)上完成此操作。
ank-pwvipinvipin
nopolicyspecifiedforvipin@ISL.IN.IBM.COM;
defaultingtonopolicy.Notethatpolicymaybeoverriddenby
ACLrestrictions.
vipin@ISL.IN.IBM.COM"
8.
9.转到配置了Kerberos客户端的任何其他客户端计算机()上。
运行'
/usr/krb5/bin/kinitvipin'
以获取初始Kerberos票证,如下所示:
bash-2.05b#/usr/krb5/bin/kinitvipin
Passwordforvipin@ISL.IN.IBM.COM:
bash-2.05b#/usr/krb5/bin/klist
Ticketcache:
/var/krb5/security/creds/krb5cc_0
Defaultprincipal:
vipin@ISL.IN.IBM.COM
ValidstartingExpiresServiceprincipal
02/16/0804:
31:
4102/17/0804:
39krbtgt/ISL.IN.IBM.COM@ISL.IN.IBM.COM
10.
11.尝试远程登录到telnetd计算机()。
如果一切顺利,系统将要求您输入密码,您将以用户“vipin”的身份登录。
下面是完成这项工作的命令:
bash-2.05b#telnet-lvipin
Trying...
Connectedto.
Escapecharacteris'
^]'
.
[KerberosV5acceptsyouas``vipin@ISL.IN.IBM.COM'
]
telnet()
*******************************************************************************
**
*WelcometoAIXVersion5.3!
*
*PleaseseetheREADMEfilein/usr/lpp/bosforinformationpertinentto*
*thisreleaseoftheAIXOperatingSystem.*
Lastunsuccessfullogin:
WedFeb1311:
50:
40CST2008on/dev/pts/2from
Lastlogin:
FriFeb1512:
49:
06CST2008on/dev/pts/3from
$hostname
$id
uid=237(vipin)gid=1(staff)
$exit
Connectionclosed
12.
13.这就是以Kerberos方式运行telnet所需完成的全部工作!
请注意在发出telnet命令时的附加选项(位于上面突出显示的文本中)。
14.如果您希望检查是否确实获得telnet服务主体的票证,请在客户端上运行/usr/krb5/bin/klist并查看其输出。
您应该看到与下面所示类似的内容:
32:
5602/17/0804:
39host/@ISL.IN.IBM.COM
为FTP服务配置Kerberos
与telnet服务类似,您也可以配置FTP服务以接受和使用Kerberos身份验证。
使用下列分步过程来实现这一目的:
1.创建FTP服务主体。
这一次FTP服务主体的名称应为“ftp/<
FQDN_ftpd_hostname>
”。
因此对于本例,它类似于“ftp/”。
创建主体:
ank-randkeyftp/
nopolicyspecifiedforftp/@ISL.IN.IBM.COM;
ftp/@ISL.IN.IBM.COM"
2.
3.现在,将此主体条目添加到keytab文件(/etc/krb5/krb5.keytab)中。
ktaddftp/
Entryforprincipalftp/withkvno3,encryptiontypeTripleDES
cbc
Entryforprincipalftp/withkvno3,encryptiontypeArcFour
Entryforprincipalftp/withkvno3,encryptiontypeAES-256CTS
mode
Entryforprincipalftp/withkvno3,encryptiontypeDES
cbcmodewith
RSA-MD5addedtokeytabWRFILE:
Entryforprincipalftp/withkvno3,encryptiontypeAES-128CTS
5.在运行FTP服务的计算机()上,运行'
并检查keytab文件中的条目。
此时该文件应当与如下所示类似:
bash-2.05b#hostname
bash-2.05b#/usr/krb5/bin/klist-k
Keytabname:
KVNOPrincipal
-------------
3ftp/@ISL.IN.IBM.COM
bash-2.05b#
7.下一步是获取初始Kerberos票证。
由于我们已经拥有名为“vipin”的Kerberos用户,因此我们将使用此主体来获取初始Kerberos票证,方法是使用'
/usr/krb5/bin/kinit'
bash-2.05b#/usr/krb5/bin/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AIX V6 上的 telnet FTP 命令中配置和启用 Kerberos 身份验证 命令 配置 启用
链接地址:https://www.bingdoc.com/p-8110110.html