科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件Solaris 10实现安全Kerberos身份验证

Solaris 10实现安全Kerberos身份验证

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着安全需求的日益增长,现在的企业需要易于维护的安全机制,然而这些安全机制必须为其提供一个安全的环境。

来源:IT专家网 2008年6月11日

关键字: Solaris Sun 操作系统

  • 评论
  • 分享微博
  • 分享邮件
清单 5. 在承载 KDC 的 AIX 计算机上使用 kadmin 工具创建 Kerberos 主体

$ hostname
aixdce39.in.ibm.com
root@aixdce39: / >
$ /usr/krb5/bin/kinit admin/admin
Password for admin/admin@AIX_KDC:
root@aixdce39: / >
$ /usr/krb5/sbin/kadmin
Authenticating as principal admin/admin@AIX_KDC with password.
Password for admin/admin@AIX_KDC:
kadmin:  add_principal sandeep
WARNING: no policy specified for sandeep@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "sandeep@AIX_KDC":
Re-enter password for principal "sandeep@AIX_KDC":
Principal "sandeep@AIX_KDC" created.
kadmin:  add_principal root/solsarpc2.in.ibm.com
WARNING: no policy specified for root/solsarpc2.in.ibm.com@AIX_KDC;
defaulting to no policy. Note that policy may be overridden by
ACL restrictions.
Enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Re-enter password for principal "root/solsarpc2.in.ibm.com@AIX_KDC":
Principal "root/solsarpc2.in.ibm.com@AIX_KDC" created.
kadmin:  q
root@aixdce39: / >
$

清单 6. 在 Solaris 计算机上创建 Solaris 10 用户

/> hostname
solsarpc2
/> who am i
root       pts/4        Sep 21 15:26    (RSANDEEP1.in.ibm.com)
/> useradd -m -d /export/home/sandeep sandeep
64 blocks
/> passwd sandeep
New Password:
Re-enter new Password:
passwd: password successfully changed for sandeep

在 Solaris 10 上对 ssh/telnet/rlogin 进行 Kerberized 身份验证所需的插入式验证模块 (Pluggable Authentication Module) 的配置

编辑 /etc/pam.conf 文件,以便使得 Telnet、SSH 和 rlogin 使用 Kerberos 作为其身份验证模块。如下面的清单 7 所示,在 /etc/pam.conf 文件中添加相应的条目,以便为 SSH、Telnet 和 rlogin 命令启用 Kerberos 身份验证。我们建议管理员应该充分理解 Solaris 插入式验证模块 (PAM) 和 /etc/pam.conf 文件的使用(可以参考 Solaris 10 中关于 pam.conf 和 sshd 的 man 页面),然后将其映射为身份验证需求,并在 /etc/pam.conf 文件中修改相应的条目。

清单 7. 在 Solaris 计算机上设置 pam.conf 文件

sshd-kbdint   auth sufficient pam_krb5.so.1
telnet        auth sufficient pam_krb5.so.1
rlogin        auth sufficient pam_krb5.so.1

在完成了设置工作之后,您就可以将 Kerberized 服务用于不同的通信服务。要对设置进行测试,可以在提供了 telnet/rlogin/ssh 的任何计算机上使用这些工具登录到 Solaris 10 计算机。成功连接之后,将会提示您输入 Kerberos 登录名和命名。您需要输入 Kerberos 主体及其关联的 Kerberos 密码。

清单 8、9 和 10 显示了使用 Kerberos 主体 sandeep 从 AIX 计算机使用 SSH、Telnet 和 rlogin 命令登录到 Solaris 计算机的测试结果。您还可以使用 Windows 本机的 Telnet 应用程序和 PuTTY for Windows(一种免费的 telnet/ssh/rlogin 客户端)从 Windows® XP 计算机登录到 Solaris 10 计算机,以便对 Kerberized 身份验证进行测试。

使用 AIX Version 5.3 作为 KDC 在 Solaris 10 上实现 Kerberized SSH

清单 8 显示了 aixdce1.in.ibm.com 上所执行的命令序列,该命令序列使用 Kerberos 作为身份验证机制(将 aixdce39.in.ibm.com (AIX Version 5.3) 服务器作为 KDC),建立了到 solsarpc2.in.ibm.com 的 SSH 连接。

    • 评论
    • 分享微博
    • 分享邮件