關(guān)于AIX TELNET的一系列設(shè)置問題
在AIX TELNET的設(shè)置中。我們通常不是單獨講解和配置的。那么通過對AIX系統(tǒng)的使用,需要配置的內(nèi)容很多,下面我們就主要看一下。學習在IBM AIX V6 上的日常網(wǎng)絡(luò)服務中使用 Kerberos 身份驗證票證,并了解 Kerberos 如何幫助避免登錄網(wǎng)絡(luò)服務時使用密碼的麻煩。這是在 AIX 系統(tǒng)網(wǎng)絡(luò)中實現(xiàn)單點登錄 (SSO) 的又一種方法。
引言
AIX中的網(wǎng)絡(luò)應用程序(例如,telnet、FTP 和 rlogin、rsh、rcp 等 r 命令)本身支持 Kerberos 身份驗證。管理員需要完成的所有工作包括安裝和配置 Kerberos,以及配置 AIX 系統(tǒng)以使用該 Kerberos 設(shè)置進行身份驗證。Kerberos 身份驗證表示一旦您擁有有效的 Kerberos 票證(通過手動 /usr/krb5/bin/kinit 或集成登錄獲得),網(wǎng)絡(luò)應用程序可以使用該票證作為您的身份驗證令牌,并且一旦成功通過身份驗證,您不需要輸入密碼就可以獲得訪問權(quán)限。
基本配置
為了啟用 Kerberos 身份驗證,需要在 Kerberos 前端以及 AIX 系統(tǒng)上設(shè)置一些通用基本配置。讓我們看一下這些Aix Telnet配置。
Kerberos 配置
讓一臺服務器計算機作為 Kerberos 主密鑰分發(fā)中心(Key Distribution Center,KDC)這臺計算機將負責所有與 Kerberos 相關(guān)的任務,例如生成票證、對用戶進行身份驗證,等等。管理員需要在這臺計算機上安裝和配置 IBM Network attached storage (NAS)(優(yōu)選使用 1.4.0.7 或更高版本)以作為主 KDC。
網(wǎng)絡(luò)中的所有其他計算機(您將在這些計算機上使用 telnet、FTP 或 r 命令進行登錄)安裝和配置 IBM NAS,作為主 KDC 的客戶端。
telnet/FTP 守護進程將在這些計算機上運行,您將從客戶端連接到這臺計算機上。在這些計算機上也安裝和配置 IBM NAS,作為主 KDC 的客戶端。
有關(guān) IBM NAS 服務器和客戶端安裝和配置的完整說明,請參考 AIX Version 5.3 Expansion Pack CD 中附帶的 IBM NAS Version 1.4 Administration Guide。
對于本文中的示例,我參考了示例 Kerberos 環(huán)境。圖 1 顯示了該環(huán)境和邏輯信息流。
圖 1:顯示 Kerberized telnet 操作的示例
本文通篇使用了下列定義:
Kerberos 管理員名稱:admin/admin
Kerberos 領(lǐng)域名稱:ISL.IN.IBM.COM
IBM NAS 1.4.0.7 主 KDC:主機名:land.in.ibm.com 端口: 88
操作系統(tǒng):AIX 5.3
IBM NAS 1.4.0.7 管理服務器:主機名:land.in.ibm.com 端口: 749
操作系統(tǒng):AIX 5.3
IBM NAS 1.4.0.7 客戶端:主機名:fakir.in.ibm.com
操作系統(tǒng):AIX 6.1
運行 telnet服務的計算機:主機名:fsaix005.in.ibm.com 端口: 23
操作系統(tǒng):AIX 5.3
運行 FTP 服務的計算機:主機名:fsaix005.in.ibm.com 端口: 21
操作系統(tǒng):AIX 5.3
檢查和同步所有計算機之間的時間差;誤差不應超過 5 分鐘。若要檢查 Kerberos 配置的正確性,請使用 '/usr/krb5/bin/kinit admin/admin',后跟 '/usr/krb5/bin/klist' 并查看是否能夠獲得 Kerberos 票證,然后使用 '/usr/krb5/sbin/kadmin -p admin/admin' 檢查所有事項(時間差以及更多項目)是否正常。
Aix Telnet設(shè)置中的AIX身份驗證配置
為了確保所有網(wǎng)絡(luò)應用程序在進行基于密碼的標準身份驗證之前嘗試 Kerberos 身份驗證,管理員需要更改所有 AIX 計算機上的身份驗證方法***項。
'/usr/bin/lsauthent' 命令顯示當前身份驗證模式***項。
- bash-2.05b# /usr/bin/lsauthent
- Standard Aix
若要更改身份驗證模式***項,請使用 '/usr/bin/chauthent' 命令。
- bash-2.05b# /usr/bin/chauthent -k5 -std
現(xiàn)在,'/usr/bin/lsauthent' 應顯示類似下面的內(nèi)容:
- bash-2.05b# /usr/bin/lsauthent
- Kerberos 5
- Standard Aix
在Aix Telnet設(shè)置中,請務必保留基于密碼的標準身份驗證方法(上面的 –std)作為后備身份驗證方法,否則如果無法啟用正確的 Kerberos 登錄,您將無法登錄到系統(tǒng)。
