三九宝宝网宝宝百科宝宝知识

kerberos for windows怎么用

01月07日 编辑 39baobao.com

Kerberos 为网络用户提供了一种安全的身份验证手段,是最流行的身份验证机制之一。大多数现代操作系统都支持基于 Kerberos(第 5 版)的身份验证。IBM AIX® 5.3 也支持基于 Kerberos 的身份验证。Kerberos 的 IBM 版本称为 IBM Network Authentication Service (IBM NAS),可以从 AIX 5.3 Expansion Pack CD 安装它。IBM NAS for AIX 同时支持 Kerberos 客户机和 Kerberos 服务器。全球的许多企业都使用 IBM NAS for AIX 作为 Kerberos 域的密钥分发中心 (KDC)。

Network File System (NFS) Version 4 部署、IBM DB2® Universal Database™ (DB2® UDB™) 安全、 Kerberized AIX 集成的登录、企业级身份验证等都在使用它。当今的客户一般都有异构环境,其中混合了 UNIX® 和 Windows® 系统。异构环境的管理员所面对的一个主要挑战是跨不同系统拥有统一的用户 ID 和密码,最好具有集中的身份验证服务器。Microsoft® Windows Server 版本提供了一个称为 Terminal Services 的工具,在 Windows 世界变得广泛流行。

该工具允许多个用户同时登录一个 Windows 服务器。Microsoft Windows Server 版本还支持基于 Kerberos 的身份验证,这种身份验证机制与 IBM NAS 是可互操作的。在本文中,管理员将了解如何配置 Microsoft Windows 2003 Server,以使用 AIX 5.3 系统上承载的 IBM NAS KDC 来对 Terminal Service 用户进行身份验证。这样的设置不仅提供了 Terminal Service 用户的 Kerberized 身份验证,而且允许用户跨 AIX 和 Windows Server 系统拥有统一的用户 ID 和密码,并且允许应用程序开发人员在跨系统的 Kerberized 应用程序中利用 IBM NAS 和 Windows 之间的 Kerberos 互操作性优点。

场景:AIX 上的 IBM NAS KDC 与 Windows Terminal Service 的 Kerberized 身份验证我们将使用一个场景来指导您完成所需的相关步骤,以设置 AIX 系统上的 IBM NAS KDC,并通过将 Windows 2003 Server 配置为使用 IBM NAS KDC 来实现 Windows Terminal Service 的 Kerberized 身份验证。本文中的示例使用了以下定义:Kerberos 域名AIXKERBEROS.IN.IBM.COMKDC (IBM NAS 1.4)主机名:fsaix11.in.ibm.com,操作系统:AIX 5.3Windows Terminal Service主机名:windce14.in.ibm.com,操作系统:Windows 2003 Server(Service Pack 1,附有文章 ID 902336 所描述的 Hotfix)Kerberos 管理员名称admin/admin图 1 显示了该示例的设置。

图 1. 示例设置示例设置回页首在 AIX 5.3 上安装和配置 IBM NAS 服务器本部分介绍 AIX 5.3 上的 IBM NAS 服务器 (Kerberos KDC) 安装和配置。在 AIX 5.3 上安装 Kerberos KDCIBM NAS 随 AIX 5.3 Expansion Pack CD 一起提供。要安装 IBM NAS 服务器包,请安装 krb5.server.rte 文件集。可以使用以下命令来安装 NAS 服务器文件集:[rootfsaix11 / ]# hostnamefsaix11.in.ibm.com[rootfsaix11 / ]# installp -aqXYgd . krb5.server然后导出以下 PATH 以确保从各自的 IBM NAS 目录执行 IBM NAS 命令:[rootfsaix11 / ]# export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH在 AIX 5.3 上配置 Kerberos KDC要在 AIX 计算机上配置 IBM NAS 服务器,请使用下面清单 1 中的命令。

在此示例中,我们将使用遗留配置,其中主体存储在本地文件系统上的数据库中。除了使用遗留配置外,还可以使用 LDAP 目录插件将 IBM NAS 服务器配置为使用轻量级目录访问协议 (LDAP)。有关带 LDAP 的 IBM NAS 配置的更多信息,请参阅 AIX Version 5.3 Expansion Pack CD 附带的 IBM NAS Version 1.4 Administration Guide。清单 1. 在 AIX 计算机上配置 IBM NAS 服务器[rootfsaix11 / ]# hostnamefsaix11.in.ibm.com[rootfsaix11 / ]# /usr/krb5/sbin/config.krb5 -S -d in.ibm.com -r AIXKERBEROS.IN.IBM.COM Initializing configuration...Creating /etc/krb5/krb5_cfg_type...Creating /etc/krb5/krb5.conf...Creating /var/krb5/krb5kdc/kdc.conf...Creating database files...Initializing database '/var/krb5/krb5kdc/principal' for realm 'AIXKERBEROS.IN.IBM.COM'master key name 'K/MAIXKERBEROS.IN.IBM.COM'You are prompted for the database Master Password.It is important that you DO NOT FORGET this password.Enter database Master Password:Re-enter database Master Password to verify:WARNING: no policy specified for admin/adminAIXKERBEROS.IN.IBM.COM; defaulting to no policy. Note that policy may be overridden by ACL restrictions.Enter password for principal "admin/adminAIXKERBEROS.IN.IBM.COM":Re-enter password for principal "admin/adminAIXKERBEROS.IN.IBM.COM":Principal "admin/adminAIXKERBEROS.IN.IBM.COM" created.Creating keytable...Creating /var/krb5/krb5kdc/kadm5.acl...Starting krb5kdc...krb5kdc was started successfully.Starting kadmind...kadmind was started successfully.The command completed successfully.由于 Windows Kerberos 实现目前仅支持 DES-CBC-MD5 和 DEC-CBC-CRC 加密类型,您需...

推荐阅读
图文推荐