您可以使用Kerberos来验证网络上用户和主体的身份。 此过程中使用两种类型的票证:票证授予票证和服务票证。 票证授予票证会验证您请求服务票证。 服务器提供服务票证请求以访问实际服务。 密钥分发中心(KDC)用作发行这些票证的受信任的第三方。
票证已加密,因此只有具有有效私钥的主体或具有整个Kerberos数据库的主体名称,其私钥及其到期的KDC才能对其进行解密。
Kerberos版本5 KDC可以使用三种加密类型:
- 数据加密标准(DES)
- 三重DES
- 高级加密标准(AES)
AES是目前用于安全通信的最先进和推荐的加密类型,因此本文重点介绍如何设置KDC以使用AES。
先决条件
要遵循本文中的示例,您需要配置了IBM Network Authentication Services(NAS)1.4版(或更高版本)文件集的AIX®5.3H®(或更高版本)机器。
设置KDC服务器
首先,验证IBM NAS文件集的安装(请参见清单1 )。
清单1.验证IBM NAS文件集
# lslpp -l |grep krb5
krb5.client.rte 1.4.0.4 COMMITTED Network Authentication
Service
krb5.client.samples 1.4.0.4 COMMITTED Network Authentication
Service
krb5.lic 1.4.0.4 COMMITTED Network Authentication
Service
krb5.msg.en_US.client.rte 1.4.0.4 COMMITTED Network Auth Service
Client
krb5.server.rte 1.4.0.4 COMMITTED Network Authentication
Service
krb5.toolkit.adt 1.4.0.4 COMMITTED Network Authentication
Service
krb5.client.rte 1.4.0.4 COMMITTED Network Authentication
Service
krb5.server.rte 1.4.0.4 COMMITTED Network Authentication
Service
下一步是进行Kerberos服务器设置。 这里要考虑的重要参数是:领域名称( -r
),域名( -d
)和标准的Kerberos管理服务器(请参见清单2 )。
清单2. Kerberos服务器设置
# mkkrb5srv -r REALM1.IBM.COM -d in.ibm.com -s adfsaix5.in.ibm.com
Fileset Level State Description
----------------------------------------------------------------------------
Path: /usr/lib/objrepos
krb5.server.rte 1.4.0.4 COMMITTED Network Authentication Service
Server
Path: /etc/objrepos
krb5.server.rte 1.4.0.4 COMMITTED Network Authentication Service
Server
The -s option is not supported.
The administration server will be the local host.
Initializing configuration...
Creating /etc/krb5/krb5_cfg_type...
Creating /etc/krb5/krb5.conf...
Creating /var/krb5/krb5kdc/kdc.conf...
Creating database files...
Initializing database '/var/krb5/krb5kdc/principal' for realm 'REALM1.IBM.COM'
master key name 'K/M@REALM1.IB