身份验证在 AIX V6 上的 telnet、FTP 和 r 命令中配置和启用 Kerberos 身份验证.doc

在AIX V6上的telnet、 FTP和r命令中配置和启用Kerb eros身份验证

引言

AIX中的网络应用程序例如 tel、 F T P和rlo gin、 rs h、 rcp等r命令本身支持K erb ero s身份验证。管理员需要完成的所有工作包括安装和配置Kerb ero s  以及配置AIX系统以使用该Kerb ero s设置进行身份验证。Kerb ero s身份验证表示一旦您拥有有效的Kerb eros票证通过手动/us r/krb 5/b in/kinit或集成登录获得  网络应用程序可以使用该票证作为您的身份验证令牌并且一旦成功通过身份验证您不需要输入密码就可以获得访问权限。

基本配置

为了启用Kerb ero s身份验证需要在Kerb ero s前端以及AIX系统上设置一些通用基本配置。让我们看一下这些配置。

Kerb ero s配置

让一台服务器计算机作为 Kerb ero s主密钥分发中心KeyDistribution Center KDC这台计算机将负责所有与Kerberos相关的任务例如生成票证、对用户进行身份验证等等。管理员需要在这台计算机上安装和配置IBM Netinistration Guide。

对于本文中的示例我参考了示例Kerb ero s环境。 图1显示了该环境和逻辑信息流。

图1显示Kerb eriz ed tel操作的示例

本文通篇使用了下列定义

Kerb ero s管理员名称admin/adm in

Kerb ero s领域名称

ISL.IN.IBM.

IBM NAS 1.4.0.7主KDC

主机名 land.in.ib m.端口 88

操作系统 AIX 5.3

IBM NAS 1.4.0.7管理服务器

主机名 land.in.ib m.端口 749

操作系统 AIX 5.3

IBM NAS 1.4.0.7客户端

主机名 fakir.in.ibm.

操作系统 AIX 6.1

运行tel服务的计算机

主机名 fs aix005.in.ib m.端口 23

操作系统 AIX 5.3

运行FTP服务的计算机

主机名 fs aix005.in.ib m.端口 21

操作系统 AIX 5.3

检查和同步所有计算机之间的时间差误差不应超过5分钟。若要检查Kerb eros配置的正确性请使用'/us r/krb 5/b in/kinitadmin/admin' 后跟'/us r/krb 5/b in/klis t'并查看是否能够获得Kerb eros票证然后使用'/usr/krb 5/sb in/kadmin -padmin/admin'检查所有事项时间差以及更多项目是否正常。

AIX身份验证配置

为了确保所有网络应用程序在进行基于密码的标准身份验证之前尝试Kerb ero s身份验证管理员需要更改所有AIX计算机上的身份验证方法首选项。

'/usr/b in/ls authent'命令显示当前身份验证模式首选项。 bash-2.05b#/usr/bin/ls authent

S tandard Aix

若要更改身份验证模式首选项 请使用'/usr/bin/chauthent'命令。 b ash-2.05b# /usr/bin/chauthent -k5-s td

现在 '/us r/b in/ls auth ent'应显示类似下面的内容b ash-2.05b#/usr/b in/ls authent

Kerberos 5

S tandard Aix

请务必保留基于密码的标准身份验证方法上面的&ndas h;s td作为后备身份验证方法 否则如果无法启用正确的Kerb ero s登录您将无法登录到系统。

为tel服务配置Kerb ero s

在Kerb ero s环境中每个Kerb ero s服务是由服务主体表示的。此服务主体只是普通的Kerb ero s主体其持有用于解密由Kerb ero s服务器发送的响应的密钥。对于tel服务也是如此您将需要在tel服务器上创建tel服务主体并执行一些配置步骤。

请执行下列分步步骤为tel服务配置Kerb ero s。

如果您已经使用 AIX'mkkrb 5 c lnt'命令配置了Kerb ero s 客户端 那么您不需要执行步骤 1 和 2 。'mkkrb 5clnt'命令创建host服务主体并将其存储在/var/krb 5/s ec urity/k eytab/<ho s tname>.keytab文件中。将此文件链接到缺省keytab文件/etc/krb 5/krb 5.keytab。

在运行tel服务的计算机(fs aix005.in.ibm.)上创建名为ho s t/<F Q DN_teld_ho s tname>的te l服务主体。对于本例它将是ho s t/fs aix005.in.ib m. 。

使用完全限定域名Fully Qualified Domain Name FQDN对于此设置的正常工作非常关键。b as h-2.05b#hos tnamefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin

Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ad dp rinc -randkey ho s t/fs aix005.in.ib m.

. ;defaulting to no policy.Note that policy may be overridden by

ACL restrictions.

Princ ip al ho s t/fs aix005.in.ibm.I S L.IN.IB M. c reated.

将te l服务主体添加到ke ytab文件(/etc/krb 5/krb 5.keytab)中。 kadmin: ktad d ho s t/fs aix005.in.ib m.

Entry for principal host/fsaix005.in.ibm.ode.d5 added to keytab.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#

在运行tel服务的计算机(fs aix005.in.ibm.)上创建新用户vipin您将使用该用户远程登录到fsaix005。更改该用户的密码。b as h-2.05b#hos tnamefs aix 005.in.ib m.bash-2.05b#mkuser-R files vipinbash-2.05b#passefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin

Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ank-pay be overridden by

ACL res trictions.

Princ ipal vip inISL.IN.IBM. created.kad m in: qbash-2.05b#

转到配置了 Kerb ero s客户端的任何其他客户端计算机(fakir.in.ibm.)上。运行'/usr/krb5/bin/kinit vipin' 以获取初始Kerb eros票证如下所示 b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin

P ass.)。如果一切顺利系统将要求您输入密码您将以用户vip in的身份登录。

下面是完成这项工作的命令 b ash-2.05b#ho stnamefakir.in.ibm.bash-2.05b#te****************************

*

*

*

*

* E file in/usr/lpp/bos for information pertinent to *

* this release of the AIX Operating System.

*

*

*

*

*

***********************************************************

********************

Last unsuccessful login: .

Valid starting Expires Service principal

02/16/08 04:31:41 02/17/0804:31:39 krbtgt/ISL.IN.IBM.ISL.IN.IBM.02/16/08 04:32:5602/17/08 04:31:39ho s t/fs aix005.in.ib m.I S L.IN.IB M.bash-2.05b#

为FTP服务配置Kerb ero s

与tel服务类似 您也可以配置F TP服务以接受和使用Kerb ero s身份验证。使用下列分步过程来实现这一目的

创建FTP服务主体。这一次FTP服务主体的名称应为ftp/<F Q DN_ftp d_ho s tname> 。 因此对于本例 它类似于ftp/fs aix 005.in.ib m. 。创建主体 b as h-2.05b#hos tnamefs aix 005.in.ib m.b ash-2.05b#kadmin-p admin/admin

Authenticating as principal admin/admin in/adminISL.IN.IBM. :kadmin: ank-randkey ftp/fs aix005.in.ibm.

. ;defaulting to no policy.Note that policy may be overridden by

ACL res trictions.

Princ ip al ftp/fs aix 005.in.ibm.IS L.IN.I BM. c reated.

现在将此主体条目添加到keytab文件(/etc/krb 5/krb 5.keytab)中。 kadmin: ktadd ftp/fs aix005.in.ibm.

Entry for principal ftp/fsaix005.in.ibm.ode.d5 added to keytab.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 host/fsaix005.in.ibm.ISL.IN.IBM.

3 ftp/fsaix005.in.ibm.ISL.IN.IBM.

3 ftp/fsaix005.in.ibm.ISL.IN.IBM.

3 ftp/fsaix005.in.ibm.ISL.IN.IBM.

3 ftp/fsaix005.in.ibm.ISL.IN.IBM.

3 ftp/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#

下一步是获取初始Kerb ero s票证。 由于我们已经拥有名为v ip in的 Kerb ero s用户 因此我们将使用此主体来获取初始Kerb ero s票证方法是使用'/usr/krb 5/b in/kinit'命令。b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin

Passefakir.in.ibm.bash-2.05b#ftp fsaix005.in.ibm.

Connected to fsaix005.in.ibm. .

220 fsaix005.in.ibm.FTP server (Version 4.2 Sat Jun 1607:20:05 CDT

2007)ready.

334 Using authentication type GSSAPI; ADAT must folloe(fs aix005.in.ib m. :ro o t):v ip in

232 GSSAPI user vipinISL.IN.IBM. is authorized as vipinftp>ftp>b ye

221 Goodbye.bash-2.05b#

若要交叉检查Kerb eros形式的FTP会话是否成功可以关闭FTP会话并执行/usr/krb 5/bin/klist以查看我们FTP服务主体的其他票证。 b ash-2.05b#hostnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/klist

Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0

Default principal: vip inISL.IN.IBM.

Valid starting Expires Service principal

02/16/08 04:47:46 02/17/0804:47:45 krbtgt/ISL.IN.IBM.ISL.IN.IBM.02/16/0804:49:20 02/17/0804:49:19 ftp/fsaix005.in.ibm.ISL.IN.IBM.bash-2.05b#

为r命令配置Kerb ero s

AIX r命令如rlogin、 rsh和rcp也支持Kerberos身份验证。我们来看一下这些命令如何使用Kerb ero s票证来允许我们无缝地执行工作。

所有 r命令的 Kerb ero s 服务主体将再次采用ho s t/<F Q DN_s ervic e_ho s tname>  与 tel服务主体相同。 因此如果您已经配置了Kerb ero s形式的tel身份验证那么您就不需要执行任何其他配置步骤。您只需获取初始Kerb ero s票证并发出r命令。例如

显示rlo g in中的Kerb ero s身份验证的示例b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin

Pass. -l vip in

***********************************************************

********************

*

*

*

*

* E file in/usr/lpp/bos for information pertinent to *

* this release of the AIX Operating System.

*

*

*

*

*

***********************************************************

********************

Last unsuccessful login:Mon Apr 21 07:55:42 CDT 2008 on/dev/pts/1from 9.182.185.101

Last login:Mon Apr 21 08:01:29 CDT 2008 on /dev/pts/1 fromfakir.in.ibm.

$ho s tnamefs aix 005.in.ib m.

$exit

Connection closed.bash-2.05b#/usr/krb5/bin/klist

Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0

Default principal: vip inISL.IN.IBM.

Valid starting Expires Service principal

04/21/08 08:54:26 04/22/0808:54:25 krbtgt/ISL.IN.IBM.ISL.IN.IBM.04/21/08 08:54:49 04/22/08 08:54:25

ho s t/fs aix005.in.ib m.I S L.IN.IB M.bash-2.05b#

显示rs h中的Kerb ero s身份验证的示例

我们也可以在rs h中执行与rlo g in方式相同的Kerb ero s身份验证。 b ash-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin

Pass. -l vip in

***********************************************************

********************

*

*

*

*

* E file in/usr/lpp/bos for information pertinent to *

* this release of the AIX Operating System.

*

*

*

*

*

***********************************************************

********************

Last unsuccessful login:Mon Apr 21 07:55:42 CDT 2008 on/dev/pts/1from 9.182.185.101

Last login:Mon Apr 21 08:54:58 CDT 2008 on /dev/pts/1 fromfakir.in.ibm.

$ho s tnamefs aix 005.in.ib m.

$exit

Connection closed.bash-2.05b#/usr/krb 5/bin/klist

Ticket cache: FILE:/var/krb 5/s ecurity/creds/krb 5cc_0

Default principal: vip inISL.IN.IBM.

Valid starting Expires Service principal

04/21/08 08:58:08 04/22/0808:58:39 krbtgt/ISL.IN.IBM.ISL.IN.IBM.04/21/08 08:58:33 04/22/08 08:58:39ho s t/fs aix005.in.ib m.I S L.IN.IB M.

显示rcp中的Kerb ero s身份验证的示例

本例使用Kerb ero s身份验证将文件从一台计算机(fakir.in.ib m.)复制到另一台远程计算机(fs aix 005.in.ib m.)。

下面是我们要传送的位于fakir.in.ibm.上的文件 bash-2.05b#

ho s tnamefakir.in.ibm.b as h-2.05b#ls -l/home/vip in/pro gs/try.c

-r 200Feb 1403:55home/vipin/progs/try.cbash-2.05b#

将此文件复制到fs aix 005.in.ib m.上的/ho me/v ip in 目录中。fs aix 005.in.ib m.上的/ho me/v ip in中的当前内容如下 b as h-2.05b#ho s tnamefs aix 005.in.ib m.b as h-2.05b#ls -l/ho me/vip in/t*ls:0653-341 The file/home/vipin/t*does not exist.bash-2.05b#

在 fakir.in.ib m.上运行 Kerb ero s 身份验证并获取初始Kerb ero s票证。 b as h-2.05b#hos tnamefakir.in.ibm.bash-2.05b#/usr/krb5/bin/kinit vipin

P ass e/vip in/progs/try.c vipinfs aix005.in.ibm. :/home/vip inbash-2.05b#

请注意我们如何传递fs aix005.in.ib m. 的用户名。我们还传递fs aix 005.in.ib m.上的目标目录。请牢记目标目录必须允许用户执行写操作这一点非常重要。

在fs aix005.in.ib m.上我们还可以交叉检查文件复制操作如下所示 b ash-2.05b#hostnamefs aix 005.in.ib m.b as h-2.05b#ls -l/ho me/vip in/t*

-re/vip in/try.cbash-2.05b#

请注意新复制文件的用户AC L。

经常遇到的kerb eriz ed tel错误

错误解决方案 Kerberos V5 拒绝身份验证 因为admin/adminI S L.IN.IB M.未获得登录指定帐户的权限。初始Kerb ero s票证是使用admin/admin创建的而不是使用您的普通用户名在本例中是vip in 。运行'/usr/krb 5/b in/kdestroy'以销毁早期 Kerb ero s票证 然后使用 '/us r/krb 5/b in/kinit<us ername>'获取正确的票证并重试。 Kerb eros V5拒绝身份验证 因为 teld:krb5_rd_req failed:Decrypt integrity checkfailed。在服务主体的密钥版本号中存在不匹配。删除服务主体使用'd elp r inc' kadmin命令并将其从keytab文件使用'ktrem' kadm in命令删除。再次重新创建新服务主体并将其添加到keytab文件然后重试。Kerb eros V5拒绝身份验证

因为teld krb5_rd_req failed:Generic RC I/O error。在tel服务器上创建名为/var/tmp的目录如果不存在 。这应当可以解决问题。

结束语

本文演示了如何在诸如 tel、 FTP和r命令之类的支持Kerb ero s的AIX网络应用程序中使用Kerb ero s身份验证机制。——感谢阅读这篇文章 . . 