在AIX V6上的telnet、 FTP和r命令中配置和启用Kerb eros身份验证
引言
AIX中的网络应用程序例如 tel、 F T P和rlo gin、 rs h、 rcp等r命令本身支持K erb ero s身份验证。管理员需要完成的所有工作包括安装和配置Kerb ero s 以及配置AIX系统以使用该Kerb ero s设置进行身份验证。Kerb ero s身份验证表示一旦您拥有有效的Kerb eros票证通过手动/us r/krb 5/b in/kinit或集成登录获得 网络应用程序可以使用该票证作为您的身份验证令牌并且一旦成功通过身份验证您不需要输入密码就可以获得访问权限。
基本配置
为了启用Kerb ero s身份验证需要在Kerb ero s前端以及AIX系统上设置一些通用基本配置。让我们看一下这些配置。
Kerb ero s配置
让一台服务器计算机作为 Kerb ero s主密钥分发中心KeyDistribution Center KDC这台计算机将负责所有与Kerberos相关的任务例如生成票证、对用户进行身份验证等等。管理员需要在这台计算机上安装和配置IBM Netinistration Guide。
对于本文中的示例我参考了示例Kerb ero s环境。 图1显示了该环境和逻辑信息流。
图1显示Kerb eriz ed tel操作的示例
本文通篇使用了下列定义
Kerb ero s管理员名称admin/adm in
Kerb ero s领域名称
ISL.IN.IBM.
IBM NAS 1.4.0.7主KDC
主机名 land.in.ib m.端口 88
操作系统 AIX 5.3
IBM NAS 1.4.0.7管理服务器
主机名 land.in.ib m.端口 749
操作系统 AIX 5.3
IBM NAS 1.4.0.7客户端
主机名 fakir.in.ibm.
操作系统 AIX 6.1
运行tel服务的计算机
主机名 fs aix005.in.ib m.端口 23
操作系统 AIX 5.3
运行FTP服务的计算机
主机名 fs aix005.in.ib m.端口 21
操作系统 AIX 5.3
检查和同步所有计算机之间的时间差误差不应超过5分钟。若要检查Kerb eros配置的正确性请使用'/us r/krb 5/b in/kinitadmin/admin' 后跟'/us r/krb 5/b in/klis t'并查看是否能够获得Kerb eros票证然后使用'/usr/krb 5/sb in/kadmin -padmin/admin'检查所有事项时间差以及更多项目是否正常。
AIX身份验证配置
为了确保所有网络应用程序在进行基于密码的标准身份验证之前尝试Kerb ero s身份验证管理员需要更改所有AIX计算机上的身份验证方法首选项。
'/usr/b in/ls authent'命令显示当前身份验证模式首选项。 bash-2.05b#/usr/bin/ls authent
S tandard Aix
若要更改身份验证模式首选项 请使用'/usr/bin/chauthent'命令。 b ash-2.05b# /usr/bin/chauthent -k5-s td
现在 '/us r/b in/ls auth ent'应显示类似下面的内容b ash-2.05b#/usr/b in/ls authent
Kerberos 5
S tandard Aix
请务必保留基于密码的标准身份验证方法上面的&ndas h;s td作为后备身份验证方法 否则如果无法启用正确的Kerb ero s登录您将无法登录到系统。
为tel服务配置Kerb ero s
在Kerb ero s环境中每个Kerb ero s服务是由服务主体表示的。此服务主体只是普通的Kerb ero s主体其持有用于解密由Kerb ero s服务器发送的响应的密钥。对于tel服务也是如此您将需要在tel服务器上创建tel服务主体并执行一些配置步骤。
请执行下列分步步骤为tel服务配置Kerb ero s。
如果您已经使用 AIX'mkkrb 5 c lnt'命令配置了Kerb ero s 客户端 那么您不需要执行步骤 1 和 2 。'mkkrb 5clnt'命令创建host服务主体并将其存储在/var/krb 5/s ec urity/k eytab/<ho s tname>.keytab文件中。将此文件链接到缺省keytab文件/etc/krb 5/krb 5.keytab。
在运行tel服务的计算机(fs aix005.in.ibm.)上创建名为ho s t/<F Q DN_teld_ho s tname>的te l服务主体。对于本例它将是ho s t/fs aix005.in.ib m. 。
使用完全限定域名Fully Qualified Domain Name FQDN对于此设置的正常工作非常关键。b as h-2.05b#hos tnamefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin
Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ad dp rinc -randkey ho s t/fs aix005.in.ib m.
. ;defaulting to no policy.Note that policy may be overridden by
ACL restrictions.
Princ ip al ho s t/fs aix005.in.ibm.I S L.IN.IB M. c reated.
将te l服务主体添加到ke ytab文件(/etc/krb 5/krb 5.keytab)中。 kadmin: ktad d ho s t/fs aix005.in.ib m.
Entry for principal host/fsaix005.in.ibm.ode.d5 added to keytab.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#
在运行tel服务的计算机(fs aix005.in.ibm.)上创建新用户vipin您将使用该用户远程登录到fsaix005。更改该用户的密码。b as h-2.05b#hos tnamefs aix 005.in.ib m.bash-2.05b#mkuser-R files vipinbash-2.05b#passefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin
Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ank-pay be overridden by
ACL res trictions.
Princ ipal vip inISL.IN.IBM. created.kad m in: qbash-2.05b#
转到配置了 Kerb ero s客户端的任何其他客户端计算机(fakir.in.ibm.)上。运行'/usr/krb5/bin/kinit vipin' 以获取初始Kerb eros票证如下所示 b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin
P ass.)。如果一切顺利系统将要求您输入密码您将以用户vip in的身份登录。
下面是完成这项工作的命令 b ash-2.05b#ho stnamefakir.in.ibm.bash-2.05b#te****************************
*
*
*
*
* E file in/usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System.
*
*
*
*
*
***********************************************************
********************
Last unsuccessful login: .
Valid starting Expires Service principal
02/16/08 04:31:41 02/17/0804:31:39 krbtgt/ISL.IN.IBM.ISL.IN.IBM.02/16/08 04:32:5602/17/08 04:31:39ho s t/fs aix005.in.ib m.I S L.IN.IB M.bash-2.05b#
为FTP服务配置Kerb ero s
与tel服务类似 您也可以配置F TP服务以接受和使用Kerb ero s身份验证。使用下列分步过程来实现这一目的
创建FTP服务主体。这一次FTP服务主体的名称应为ftp/<F Q DN_ftp d_ho s tname> 。 因此对于本例 它类似于ftp/fs aix 005.in.ib m. 。创建主体 b as h-2.05b#hos tnamefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin
Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ank-randkey ftp/fs aix005.in.ibm.
. ;defaulting to no policy.Note that policy may be overridden by
ACL res trictions.
Princ ip al ftp/fs aix 005.in.ibm.IS L.IN.I BM. c reated.
现在将此主体条目添加到keytab文件(/etc/krb 5/krb 5.keytab)中。 kadmin: ktadd ftp/fs aix005.in.ibm.
Entry for principal ftp/fsaix005.in.ibm.ode.d5 added to keytab.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 host/fsaix005.in.ibm.ISL.IN.IBM.
3 ftp/fsaix005.in.ibm.ISL.IN.IBM.
3 ftp/fsaix005.in.ibm.ISL.IN.IBM.
3 ftp/fsaix005.in.ibm.ISL.IN.IBM.
3 ftp/fsaix005.in.ibm.ISL.IN.IBM.
3 ftp/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#
下一步是获取初始Kerb ero s票证。 由于我们已经拥有名为v ip in的 Kerb ero s用户 因此我们将使用此主体来获取初始Kerb ero s票证方法是使用'/usr/krb 5/b in/kinit'命令。b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin
Passefakir.in.ibm.bash-2.05b#ftp fsaix005.in.ibm.
Connected to fsaix005.in.ibm. .
220 fsaix005.in.ibm.FTP server (Version 4.2 Sat Jun 1607:20:05 CDT
2007)ready.
334 Using authentication type GSSAPI; ADAT must folloe(fs aix005.in.ib m. :ro o t):v ip in
232 GSSAPI user vipinISL.IN.IBM. is authorized as vipinftp>ftp>b ye
221 Goodbye.bash-2.05b#
若要交叉检查Kerb eros形式的FTP会话是否成功可以关闭FTP会话并执行/usr/krb 5/bin/klist以查看我们FTP服务主体的其他票证。 b ash-2.05b#hostnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/klist
Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0
Default principal: vip inISL.IN.IBM.
Valid starting Expires Service principal
02/16/08 04:47:46 02/17/0804:47:45 krbtgt/ISL.IN.IBM.ISL.IN.IBM.02/16/0804:49:20 02/17/0804:49:19 ftp/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#
为r命令配置Kerb ero s
AIX r命令如rlogin、 rsh和rcp也支持Kerberos身份验证。我们来看一下这些命令如何使用Kerb ero s票证来允许我们无缝地执行工作。
所有 r命令的 Kerb ero s 服务主体将再次采用ho s t/<F Q DN_s ervic e_ho s tname> 与 tel服务主体相同。 因此如果您已经配置了Kerb ero s形式的tel身份验证那么您就不需要执行任何其他配置步骤。您只需获取初始Kerb ero s票证并发出r命令。例如
显示rlo g in中的Kerb ero s身份验证的示例b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin
Pass. -l vip in
***********************************************************
********************
*
*
*
*
* E file in/usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System.
*
*
*
*
*
***********************************************************
********************
Last unsuccessful login:Mon Apr 21 07:55:42 CDT 2008 on/dev/pts/1from 9.182.185.101
Last login:Mon Apr 21 08:01:29 CDT 2008 on /dev/pts/1 fromfakir.in.ibm.
$ho s tnamefs aix 005.in.ib m.
$exit
Connection closed.bash-2.05b#/usr/krb5/bin/klist
Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0
Default principal: vip inISL.IN.IBM.
Valid starting Expires Service principal
04/21/08 08:54:26 04/22/0808:54:25 krbtgt/ISL.IN.IBM.ISL.IN.IBM.04/21/08 08:54:49 04/22/08 08:54:25
ho s t/fs aix005.in.ib m.I S L.IN.IB M.bash-2.05b#
显示rs h中的Kerb ero s身份验证的示例
我们也可以在rs h中执行与rlo g in方式相同的Kerb ero s身份验证。 b ash-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin
Pass. -l vip in
***********************************************************
********************
*
*
*
*
* E file in/usr/lpp/bos for information pertinent to *
* this release of the AIX Operating System.
*
*
*
*
*
***********************************************************
********************
Last unsuccessful login:Mon Apr 21 07:55:42 CDT 2008 on/dev/pts/1from 9.182.185.101
Last login:Mon Apr 21 08:54:58 CDT 2008 on /dev/pts/1 fromfakir.in.ibm.
$ho s tnamefs aix 005.in.ib m.
$exit
Connection closed.bash-2.05b#/usr/krb 5/bin/klist
Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0
Default principal: vip inISL.IN.IBM.
Valid starting Expires Service principal
04/21/08 08:58:08 04/22/0808:58:39 krbtgt/ISL.IN.IBM.ISL.IN.IBM.04/21/08 08:58:33 04/22/08 08:58:39ho s t/fs aix005.in.ib m.I S L.IN.IB M.
显示rcp中的Kerb ero s身份验证的示例
本例使用Kerb ero s身份验证将文件从一台计算机(fakir.in.ib m.)复制到另一台远程计算机(fs aix 005.in.ib m.)。
下面是我们要传送的位于fakir.in.ibm.上的文件 bash-2.05b#
ho s tnamefakir.in.ibm.b as h-2.05b#ls -l/home/vip in/pro gs/try.c
-r 200Feb 1403:55home/vipin/progs/try.cbash-2.05b#
将此文件复制到fs aix 005.in.ib m.上的/ho me/v ip in 目录中。fs aix 005.in.ib m.上的/ho me/v ip in中的当前内容如下 b as h-2.05b#ho s tnamefs aix 005.in.ib m.b as h-2.05b#ls -l/ho me/vip in/t*ls:0653-341 The file/home/vipin/t*does not exist.bash-2.05b#
在 fakir.in.ib m.上运行 Kerb ero s 身份验证并获取初始Kerb ero s票证。 b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin
P ass e/vip in/progs/try.c vipinfs aix005.in.ibm. :/home/vip inbash-2.05b#
请注意我们如何传递fs aix005.in.ib m. 的用户名。我们还传递fs aix 005.in.ib m.上的目标目录。请牢记目标目录必须允许用户执行写操作这一点非常重要。
在fs aix005.in.ib m.上我们还可以交叉检查文件复制操作如下所示 b ash-2.05b#hostnamefs aix 005.in.ib m.b as h-2.05b#ls -l/ho me/vip in/t*
-re/vip in/try.cbash-2.05b#
请注意新复制文件的用户AC L。
经常遇到的kerb eriz ed tel错误
错误解决方案 Kerberos V5 拒绝身份验证 因为admin/adminI S L.IN.IB M.未获得登录指定帐户的权限。初始Kerb ero s票证是使用admin/admin创建的而不是使用您的普通用户名在本例中是vip in 。运行'/usr/krb 5/b in/kdestroy'以销毁早期 Kerb ero s票证 然后使用 '/us r/krb 5/b in/kinit<us ername>'获取正确的票证并重试。 Kerb eros V5拒绝身份验证 因为 teld:krb5_rd_req failed:Decrypt integrity checkfailed。在服务主体的密钥版本号中存在不匹配。删除服务主体使用'd elp r inc' kadmin命令并将其从keytab文件使用'ktrem' kadm in命令删除。再次重新创建新服务主体并将其添加到keytab文件然后重试。Kerb eros V5拒绝身份验证
因为teld krb5_rd_req failed:Generic RC I/O error。在tel服务器上创建名为/var/tmp的目录如果不存在 。这应当可以解决问题。
结束语
本文演示了如何在诸如 tel、 FTP和r命令之类的支持Kerb ero s的AIX网络应用程序中使用Kerb ero s身份验证机制。——感谢阅读这篇文章 . .
如今我们很多朋友做网站都比较多的采用站群模式,但是用站群模式我们很多人都知道要拆分到不同IP段。比如我们会选择不同的服务商,不同的机房,至少和我们每个服务器的IP地址差异化。于是,我们很多朋友会选择美国多IP站群VPS商家的产品。美国站群VPS主机商和我们普通的云服务器、VPS还是有区别的,比如站群服务器的IP分布情况,配置技术难度,以及我们成本是比普通的高,商家选择要靠谱的。我们在选择美国多IP...
青果云香港CN2_GIA主机测评青果云香港多线BGP网络,接入电信CN2 GIA等优质链路,测试IP:45.251.136.1青果网络QG.NET是一家高效多云管理服务商,拥有工信部颁发的全网云计算/CDN/IDC/ISP/IP-VPN等多项资质,是CNNIC/APNIC联盟的成员之一。青果云香港CN2_GIA主机性能分享下面和大家分享下。官方网站:点击进入CPU内存系统盘数据盘宽带ip价格购买地...
DMIT怎么样?DMIT最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99美元 !!目前,美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线...