在AIX TELNET的設(shè)置中。我們通常不是單獨(dú)講解和配置的。那么通過對AIX系統(tǒng)的使用，需要配置的內(nèi)容很多，下面我們就主要看一下。學(xué)習(xí)在IBM AIX V6 上的日常網(wǎng)絡(luò)服務(wù)中使用 Kerberos 身份驗(yàn)證票證，并了解 Kerberos 如何幫助避免登錄網(wǎng)絡(luò)服務(wù)時(shí)使用密碼的麻煩。這是在 AIX 系統(tǒng)網(wǎng)絡(luò)中實(shí)現(xiàn)單點(diǎn)登錄 (SSO) 的又一種方法。

引言

AIX中的網(wǎng)絡(luò)應(yīng)用程序（例如，telnet、FTP 和 rlogin、rsh、rcp 等 r 命令）本身支持 Kerberos 身份驗(yàn)證。管理員需要完成的所有工作包括安裝和配置 Kerberos，以及配置 AIX 系統(tǒng)以使用該 Kerberos 設(shè)置進(jìn)行身份驗(yàn)證。Kerberos 身份驗(yàn)證表示一旦您擁有有效的 Kerberos 票證（通過手動(dòng) /usr/krb5/bin/kinit 或集成登錄獲得），網(wǎng)絡(luò)應(yīng)用程序可以使用該票證作為您的身份驗(yàn)證令牌，并且一旦成功通過身份驗(yàn)證，您不需要輸入密碼就可以獲得訪問權(quán)限。

基本配置

為了啟用 Kerberos 身份驗(yàn)證，需要在 Kerberos 前端以及 AIX 系統(tǒng)上設(shè)置一些通用基本配置。讓我們看一下這些Aix Telnet配置。

Kerberos 配置

讓一臺(tái)服務(wù)器計(jì)算機(jī)作為 Kerberos 主密鑰分發(fā)中心（Key Distribution Center，KDC）這臺(tái)計(jì)算機(jī)將負(fù)責(zé)所有與 Kerberos 相關(guān)的任務(wù)，例如生成票證、對用戶進(jìn)行身份驗(yàn)證，等等。管理員需要在這臺(tái)計(jì)算機(jī)上安裝和配置 IBM Network attached storage (NAS)（優(yōu)選使用 1.4.0.7 或更高版本）以作為主 KDC。

網(wǎng)絡(luò)中的所有其他計(jì)算機(jī)（您將在這些計(jì)算機(jī)上使用 telnet、FTP 或 r 命令進(jìn)行登錄）安裝和配置 IBM NAS，作為主 KDC 的客戶端。

telnet/FTP 守護(hù)進(jìn)程將在這些計(jì)算機(jī)上運(yùn)行，您將從客戶端連接到這臺(tái)計(jì)算機(jī)上。在這些計(jì)算機(jī)上也安裝和配置 IBM NAS，作為主 KDC 的客戶端。

有關(guān) IBM NAS 服務(wù)器和客戶端安裝和配置的完整說明，請參考 AIX Version 5.3 Expansion Pack CD 中附帶的 IBM NAS Version 1.4 Administration Guide。

對于本文中的示例，我參考了示例 Kerberos 環(huán)境。圖 1 顯示了該環(huán)境和邏輯信息流。

圖 1：顯示 Kerberized telnet 操作的示例

本文通篇使用了下列定義：

Kerberos 管理員名稱：admin/admin

Kerberos 領(lǐng)域名稱：ISL.IN.IBM.COM

IBM NAS 1.4.0.7 主 KDC：主機(jī)名：land.in.ibm.com 端口： 88

操作系統(tǒng)：AIX 5.3

IBM NAS 1.4.0.7 管理服務(wù)器：主機(jī)名：land.in.ibm.com 端口： 749

操作系統(tǒng)：AIX 5.3

IBM NAS 1.4.0.7 客戶端：主機(jī)名：fakir.in.ibm.com

操作系統(tǒng)：AIX 6.1

運(yùn)行 telnet服務(wù)的計(jì)算機(jī)：主機(jī)名：fsaix005.in.ibm.com 端口： 23

操作系統(tǒng)：AIX 5.3

運(yùn)行 FTP 服務(wù)的計(jì)算機(jī)：主機(jī)名：fsaix005.in.ibm.com 端口： 21

操作系統(tǒng)：AIX 5.3

檢查和同步所有計(jì)算機(jī)之間的時(shí)間差；誤差不應(yīng)超過 5 分鐘。若要檢查 Kerberos 配置的正確性，請使用 '/usr/krb5/bin/kinit admin/admin'，后跟 '/usr/krb5/bin/klist' 并查看是否能夠獲得 Kerberos 票證，然后使用 '/usr/krb5/sbin/kadmin -p admin/admin' 檢查所有事項(xiàng)（時(shí)間差以及更多項(xiàng)目）是否正常。

Aix Telnet設(shè)置中的AIX身份驗(yàn)證配置

為了確保所有網(wǎng)絡(luò)應(yīng)用程序在進(jìn)行基于密碼的標(biāo)準(zhǔn)身份驗(yàn)證之前嘗試 Kerberos 身份驗(yàn)證，管理員需要更改所有 AIX 計(jì)算機(jī)上的身份驗(yàn)證方法***項(xiàng)。

'/usr/bin/lsauthent' 命令顯示當(dāng)前身份驗(yàn)證模式***項(xiàng)。

bash-2.05b# /usr/bin/lsauthent  
Standard Aix 

若要更改身份驗(yàn)證模式***項(xiàng)，請使用 '/usr/bin/chauthent' 命令。

bash-2.05b# /usr/bin/chauthent -k5 -std 

現(xiàn)在，'/usr/bin/lsauthent' 應(yīng)顯示類似下面的內(nèi)容：

bash-2.05b# /usr/bin/lsauthent  
Kerberos 5  
Standard Aix 

在Aix Telnet設(shè)置中，請務(wù)必保留基于密碼的標(biāo)準(zhǔn)身份驗(yàn)證方法（上面的 –std）作為后備身份驗(yàn)證方法，否則如果無法啟用正確的 Kerberos 登錄，您將無法登錄到系統(tǒng)。