Solaris 10完成宁静Kerberos身份验证(2)

转载

mb5fdb0a1b25659 2011-03-07 15:47:00

文章标签 Solaris eros 身份验证佚名 java 文章分类 代码人生

作者:佚名, ,清单5.在承载KDC的AIX打定机上运用kadmin对象创建Kerberos主体,$hostname,aixdce39.in.i

作者: 佚名

清单 5. 在承载 KDC 的 AIX 打定机上运用 kadmin 对象创建 Kerberos 主体

$ hostname

aixdce39.in.ibm.com

root@aixdce39: / >

$ /usr/krb5/bin/kinit admin/admin

Password for admin/admin@AIX_KDC:

root@aixdce39: / >

$ /usr/krb5/sbin/kadmin

Authenticating as principal admin/admin@AIX_KDC with password.

Password for admin/admin@AIX_KDC:

kadmin: add_principal sandeep

WARNING: no policy specified for sandeep@AIX_KDC;

defaulting to no policy. Note that policy may be overridden by

ACL restrictions.

Enter password for principal "sandeep@AIX_KDC":

Re-enter password for principal "sandeep@AIX_KDC":

Principal "sandeep@AIX_KDC" created.

kadmin: add_principal root/solsarpc2.in.ibm.com

WARNING: no policy specified for root/solsarpc2.in.ibm.com@AIX_KDC;

defaulting to no policy. Note that policy may be overridden by

ACL restrictions.

Enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":

Re-enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":

Principal "root/solsarpc2.in.ibm.com@AIX_KDC" created.

kadmin: q

root@aixdce39: / >

清单 6. 在 Solaris 打定机上创建 Solaris 10 用户

/> hostname

solsarpc2

/> who am i

root pts/4 Sep 21 15:26 (RSANDEEP1.in.ibm.com)

/> useradd -m -d /export/home/sandeep sandeep

64 blocks

/> passwd sandeep

New Password:

Re-enter new Password:

passwd: password successfully changed for sandeep

在 Solaris 10 上对 ssh/telnet/rlogin 举办 Kerberized 身份验证所需的拔出式验证模块 (Pluggable Authentication Module) 的设置配备铺排

编辑 /etc/pam.conf 文件，以便使得 Telnet、SSH 和 rlogin 运用 Kerberos 作为其身份验证模块。如上面的清单 7 所示，在 /etc/pam.conf 文件中添加呼应的条款，以便为 SSH、Telnet 和 rlogin 饬令启用 Kerberos 身份验证。我们创议经管员应该富余邃晓 Solaris 拔出式验证模块 (PAM) 和 /etc/pam.conf 文件的运用（可以参考 Solaris 10 中关于 pam.conf 和 sshd 的 man 页面），然后将其映射为身份验证需求，并在 /etc/pam.conf 文件中批改呼应的条款。

清单 7. 在 Solaris 打定机上设置 pam.conf 文件

sshd-kbdint auth sufficient pam_krb5.so.1

telnet auth sufficient pam_krb5.so.1

rlogin auth sufficient pam_krb5.so.1

在完成了设置工作之后，您就可以将 Kerberized 效力用于差异的通讯效力。要对设置举办测试，可以在供给了 telnet/rlogin/ssh 的任何打定机上运用这些对象登录到 Solaris 10 打定机。告成衔接之后，将会提醒您输出 Kerberos 登录名和命名。您需求输出 Kerberos 主体及其联系相干的 Kerberos 暗码。

清单 8、9 和 10 体现了运用 Kerberos 主体 sandeep 从 AIX 打定机运用 SSH、Telnet 和 rlogin 饬令登录到 Solaris 打定机的测试成果。您还可以运用 Windows 本机的 Telnet 使用法度圭表标准和 PuTTY for Windows（一种免费的 telnet/ssh/rlogin 客户端）从 Windows® XP 打定机登录到 Solaris 10 打定机，以便对 Kerberized 身份验证举办测试。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized SSH

清单 8 体现了 aixdce1.in.ibm.com 上所执行的饬令序列，该饬令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC），创建了到 solsarpc2.in.ibm.com 的 SSH 衔接。

清单 8. 运用 Kerberos 身份验证的告成的 SSH 的示例输出

$hostname

aixdce1.in.ibm.com

$whoami

manish

$ssh sandeep@solsarpc2.in.ibm.com

Enter Kerberos password for sandeep:

Last login: Wed Sep 20 12:58:40 2006 from aixdce1.in.ibm.com

Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !

$ hostname

solsarpc2

$ uname -a

SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240

$ who am i

sandeep pts/3 Sep 20 13:00 (aixdce1.in.ibm.com)

$ pwd

/export/home/sandeep

$ exit

Connection to solsarpc2.in.ibm.com closed.

$hostname

aixdce1.in.ibm.com

若是在执行上述设置后，在运用 Kerberos 举办 SSH 衔接时存在任何成绩，可以在 /etc/hosts 中添加该打定机的完全限制的域名，然后举办重试。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized Telnet

清单 9 体现了 aixdce1.in.ibm.com 上所执行的饬令序列，该饬令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC），创建了到 solsarpc2.in.ibm.com 的 Telnet 访问。

清单 9. 运用 Kerberos 身份验证的告成的 Telnet 的示例输出

[root@aixdce1 / ] #hostname

aixdce1.in.ibm.com

[root@aixdce1 / ] #whoami

root

[root@aixdce1] #telnet solsarpc2.in.ibm.com

Trying...

Connected to 9.182.192.168.

Escape character is '^]'.

Enter Kerberos password for sandeep:

Last login: Tue Sep 19 15:20:06 from RSANDEEP1.in.ibm.com

Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !

$ uname -a

SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240

$ who am i

sandeep pts/3 Sep 19 15:24 (aixdce1.in.ibm.com)

$ pwd

/export/home/sandeep

$ exit

Connection closed.

[root@aixdce1] #hostname

aixdce1.in.ibm.com

[root@aixdce1] #

在缺省情况下，已启用了 Telnet 效力器并运转于 Solaris 10。若是没有，请参考 Solaris 10 中关于 telnetd 的 man 页面。

运用 AIX Version 5.3 作为 KDC 在 Solaris 10 上完成 Kerberized rlogin

清单 10 体现了 aixdce1.in.ibm.com 上所执行的饬令序列，该饬令序列运用 Kerberos 作为身份验证机制（将 aixdce39.in.ibm.com (AIX Version 5.3) 效力器作为 KDC），创建了到 solsarpc2.in.ibm.com 的近程登录访问。

清单 10. 运用 Kerberos 身份验证的告成的 rlogin 的示例输出

[root@aixdce1 / ] #hostname

aixdce1.in.ibm.com

[root@aixdce1 / ] #whoami

root

[root@aixdce1 / ] #rlogin solsarpc2.in.ibm.com -l sandeep

Enter Kerberos password for sandeep:

Last login: Tue Sep 19 15:24:14 from aixdce39.in.ibm.com

Welcome to the Sun Java Enterprise System 2005Q1 (Solsarpc2.in.ibm.com) !

$ hostname

solsarpc2

$ uname -a

SunOS solsarpc2 5.10 Generic_118833-17 sun4u sparc SUNW,Sun-Fire-V240

$ who am i

sandeep pts/3 Sep 19 15:31 (aixdce1.in.ibm.com)

$ pwd

/export/home/sandeep

$ exit

Connection closed.

[root@aixdce1 / ]hostname

aixdce1.in.ibm.com

在缺省情况下，已启用了 Telnet 效力器并运转于 Solaris 10。若是没有，请参考 Solaris 10 中关于 rlogind 的 man 页面。

总结

本文向经管员引见了怎样在 AIX Version 5.3 上设置配备铺排 KDC，以及运用它来设置 Kerberized 情况，以便与 Solaris 10 协同工作。本文还申明了怎样运用它为差异圭表标准的通讯举办身份验证。该内容可以帮手经管员运用单个 AIX KDC 完成差异操纵系统的身份验证。要看法怎样为 Windows 设置配备铺排 AIX KDC，请拜见参考材料部门。