telnet服务配置Kerberos的具体过程(1)
telnet服务配置Kerberos的具体过程(1)
在一些服务设置中,我们通常借助其他环境来完成一些操作工作。例如我们接下里所讲的telnet服务配置Kerberos的相关内容。在Kerberos环境中,每个Kerberos服务是由服务主体表示的。此服务主体只是普通的Kerberos主体,其持有用于解密由Kerberos服务器发送的响应的密钥。对于telnet服务也是如此,您将需要在telnet服务器上创建telnet服务主体并执行一些配置步骤。请执行下列分步步骤为telnet服务配置Kerberos。
如果您已经使用 AIX 'mkkrb5clnt' 命令配置Kerberos客户端,那么您不需要执行步骤 1 和 2。'mkkrb5clnt' 命令创建 host 服务主体并将其存储在 /var/krb5/security/keytab/<hostname>.keytab 文件中。将此文件链接到缺省 keytab 文件 /etc/krb5/krb5.keytab。
在运行telnet服务的计算机 (fsaix005.in.ibm.com) 上,创建名为“host/<FQDN_telnetd_hostname>”的telnet服务主体。对于本例,它将是“host/fsaix005.in.ibm.com”。
使用完全限定域名Fully Qualified Domain Name,FQDN)对于此设置的正常工作非常关键。
- bash-2.05b# hostname
- fsaix005.in.ibm.com
- bash-2.05b# kadmin -p admin/admin
- Authenticating as principal admin/admin with password.
- Password for admin/admin@ISL.IN.IBM.COM:
- kadmin: addprinc -randkey host/fsaix005.in.ibm.com
- WARNING: no policy specified for host/fsaix005.in.ibm.com@ISL.IN.IBM.COM;
- defaulting to no policy. Note that policy may be overridden by
- ACL restrictions.
- Principal "host/fsaix005.in.ibm.com@ISL.IN.IBM.COM" created.
将telnet服务主体添加到 keytab 文件 (/etc/krb5/krb5.keytab) 中。
- kadmin: ktadd host/fsaix005.in.ibm.com
- Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type Triple DES
- cbc
- mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
- Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type ArcFour
- with
- HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
- Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type AES-256
- CTS mode
- with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
- Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type DES cbc
- mode
- with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
- Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type AES-128
- CTS mode
- with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
- kadmin: q
- bash-2.05b#
如果由于某种原因无法运行“kadmin”,则在 KDC 上创建服务主体并添加到 keytab 文件 (/etc/krb5/krb5.keytab) 中,然后将该 keytab 文件传送到运行 telnetd 的计算机对于本例,是 fsaix005.in.ibm.com)上。
在运行telnet服务的计算机 (fsaix005.in.ibm.com) 上,运行 '/usr/krb5/bin/klist -k' 并检查条目。
- bash-2.05b# hostname
- fsaix005.in.ibm.com
- bash-2.05b# /usr/krb5/bin/klist -k
- Keytab name: FILE:/etc/krb5/krb5.keytab
- KVNO Principal
- ---- ---------
- 3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM
- 3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM
- 3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM
- 3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM
- 3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM
- bash-2.05b#
在运行 telnet服务的计算机 (fsaix005.in.ibm.com) 上,创建新用户“vipin”,您将使用该用户远程登录到 fsaix005。更改该用户的密码。
- bash-2.05b# hostname
- fsaix005.in.ibm.com
- bash-2.05b# mkuser -R files vipin
- bash-2.05b# passwd vipin
- Changing password for "vipin"
- vipin's New password:
- Enter the new password again:
- bash-2.05b#
创建具有相同名称“vipin”的Kerberos主体。可以从Kerberos领域中的任何计算机主 KDC 或客户机)上完成此操作。
评论暂时关闭