本文详细介绍了如何在IBM NAS和Microsoft Active Directory的Kerberos领域间配置AIX NFS版本4,以实现跨域身份验证和文件系统的安全访问。配置步骤包括设置IBM NAS KDC服务器、Microsoft Active Directory、域间信任以及测试客户端的配置。通过这些步骤,AIX NFS版本4可以在混合环境中无缝工作,允许不同领域的用户和应用程序访问资源。
由于安全性是网络文件系统版本4(NFS版本4)的关键方面和销售功能之一,因此它已被广泛接受为下一代分布式文件系统。 NFS版本4的当前实现使用Kerberos(RFC 4120)作为其基础安全性机制来实现身份验证,隐私,完整性和不可否认性。 IBM®为其AIX®操作系统拥有自己的NFS版本4实施,该操作系统利用IBM网络认证服务版本1.4(IBM NAS-Kerberos的IBM风格)来使文件系统内核化。
部署AIX NFS版本4(或从较旧的分布式文件系统(如DCE / DFS或AFS)迁移的大多数客户)具有混合环境,其中包含Windows®和UNIX®系统。 在这种异构环境中,某些管理员倾向于将Microsoft®Active Directory用作Windows环境的Kerberos服务器,而将IBM NAS for AIX用作其余环境的Kerberos服务器,从而导致两个不同的Kerberos领域。 在某些情况下,需要AIX NFS版本4跨组织边界运行。 在这种情况下,由不同的供应商(例如,某些使用IBM NAS和其他使用Microsoft Active Directory)使用不同类型的Kerberos部署各个组织中使用的Kerberos服务器的可能性很大。 在类似的其他场景中,某些管理员可能正计划从Microsoft Active Directory迁移到IBM NAS for AIX以充当其领域的Kerberos服务器。
为了使AIX NFS版本4在涉及多个Kerberos领域的方案中工作,您需要在使用IBM NAS 1.4版AIX和Microsoft Active Directory配置的Kerberos领域之间建立域间配置。 本文介绍了必要的配置步骤,以帮助您在IBM NAS版本1.4和Microsoft Active Directory之间配置成功的跨域设置。 它进一步详细说明了AIX NFS版本4在这种跨域设置中需要进行的更改,并通过示例说明了其工作。
Kerberos领域间配置
Kerberos版本5协议由各种供应商为各种系统实现。 它的基本用途是在分布式网络上实现集中式身份验证。 Kerberos互操作性为各种实现在异类环境中共存和协同工作提供了通用协议。
在Kerberos世界中,所有使用Kerberos作为身份验证介质并配置到特定Kerberos服务器(例如,用于AIX的IBM NAS版本1.4或Microsoft Active Directory)的用户和应用程序都组成一个称为realm的单元。 Kerberos客户端(用户或应用程序)在其中注册的领域的名称是该客户端名称的一部分,并且由Kerberos化的应用程序服务器可以使用该领域的名称来决定是否接受请求。 作为Kerberos互操作性的一部分,大多数Kerberos实现都支持一种称为域间配置的理论。 域间配置背后的基本概念是域间密钥的建立,这可以帮助两个不同域的管理员允许在一个域中进行身份验证的客户端在其他域中使用其Kerberos凭据。
以下各节描述了有关如何在两个Kerberos领域之间建立中间领域的配置详细信息,其中一个领域配置为IBM NAS服务器,另一个领域配置为Microsoft Active Directory。 它进一步说明了使用AIX NFS版本4作为以kerberized的应用程序来测试域间配置的工作情况。
带有IBM NAS和Microsoft Active Directory的AIX NFS版本4-场景
为了在由IBM NAS和Microsoft Active Directory组成的Kerberos跨域上设置和测试AIX NFS版本4的执行,请考虑以下情形。 如图1所示,该方案包含两个不同的Kerberos领域。 其中一个域ADFSAIX1.IN.IBM.COM已将IBM NAS for AIX用作Kerberos密钥分发中心(KDC),而另一个域MSKERBEROS.IN.IBM.COM将Microsoft Active Directory用作该领域。 Kerberos KDC。 导出目录的AIX NFS版本4服务器配置为IBM NAS领域ADFSAIX1.IN.IBM.COM ,而AIX NFS V4服务器安装导出的目录的AIX NFS版本4客户端配置为ADFSAIX1 .IN.IBM.COM和MSKERBEROS.IN.IBM.COM Kerberos领域。 定义此方案成功的最终目标是,属于MSKERBEROS.IN.IBM.COM领域的Administrator @ MSKERBEROS.IN.IBM.COM Kerberos主体应该能够成功获取AIX NFS版本4上的Kerberos凭证。客户机,并使用这些凭证来成功访问和安装AIX NFS版本4 nfs / adfsaix1.in.ibm.com @ ADFSAIX1.IN.IBM.COM服务器导出的目录,该服务器属于ADFSAIX1.IN.IBM.COM领域。
本文的示例中使用了以下定义:
清单1.定义
NFS domain name: in.ibm.com
AIX NAS 1.4 (KDC) and AIX NFS V4 server:
Realm name : ADFSAIX1.IN.IBM.COM
Hostname : adfsaix1.in.ibm.com
Operating system : AIX V5.3
IBM NAS admin principal : admin/admin
NFS V4 Server principal : nfs/adfsaix1.in.ibm.com
Microsoft Active Directory Server (KDC)
Realm Name : MSKERBEROS.IN.IBM.COM
Hostname : windce20.in.ibm.com
Operating system : Microsoft Windows Server 2003
(Enterprise Edition, SP1)
Active Directory admin
Principal : administrator
AIX NAS 1.4 client and AIX NFS V4 client
Realm name : ADFSAIX1.IN.IBM.COM
Hostname : nfsaix02.in.ibm.com
Operating system : AIX V5.3
Configured to ADFSAIX1.IN.IBM.COM and MSKERBEROS.IN.IBM.COM realms.图1.示例设置
配置步骤
为了更好地理解,配置步骤分为四个不同的模块:
- 设置IBM NAS KDC服务器和AIX NFS版本4服务器
- 设置Microsoft Active Directory
- IBM NAS KDC Server和Microsoft Active Directory上的域间设置
- 设置IBM NAS客户端和AIX NFS版本4客户端-测试场景
设置IBM NAS KDC服务器和AIX NFS版本4服务器
- 在AIX 5.3机器上安装krb5和modcrypt文件集。
IBM NAS版本1.4文件集随AIX版本5.3扩展CD一起提供。 安装IBM NAS版本1.4服务器和AIX NFS版本4所需的modcrypt.base文件集的命令是:
清单2.文件集要求
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# installp -aqXgd . krb5.server modcrypt.base随着AIX 53L(TL 5300-07)和AIX 610的发行,还需要安装AIX Expansion Pack CD随附的clic.rte文件集,这是执行
gssd守护程序的先决条件。 有关更多信息,请参考AIX 53L或610文档。 - 配置AIX NAS KDC服务器。
成功安装IBM NAS版本1.4之后,请在AIX机器上配置IBM NAS KDC。 要将NAS KDC服务器配置为使用旧数据库,请使用以下命令,如清单3所示。 有关IBM NAS管理的详细信息,请参阅AIX版本5.3扩展包CD随附的《 IBM NAS版本1.4管理和用户指南》。
清单3. NAS KDC服务器的配置
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# export PATH=/usr/krb5/bin/:/usr/krb5/sbin/:$PATH bash-2.05b# config.krb5 -S -r ADFSAIX1.IN.IBM.COM -d in.ibm.com Initializing configuration... Creating /etc/krb5/krb5_cfg_type... Creating /etc/krb5/krb5.conf... Creating /var/krb5/krb5kdc/kdc.conf... Creating database files... Initializing database '/var/krb5/krb5kdc/principal' for realm 'ADFSAIX1.IN.IBM.COM' master key name 'K/M@ADFSAIX1.IN.IBM.COM' You are prompted for the database Master Password. It is important that you DO NOT FORGET this password. Enter database Master Password: Re-enter database Master Password to verify: WARNING: no policy specified for admin/admin@ADFSAIX1.IN.IBM.COM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Enter password for principal "admin/admin@ADFSAIX1.IN.IBM.COM": Re-enter password for principal "admin/admin@ADFSAIX1.IN.IBM.COM": Principal "admin/admin@ADFSAIX1.IN.IBM.COM" created. Creating keytable... Creating /var/krb5/krb5kdc/kadm5.acl... Starting krb5kdc... krb5kdc was started successfully. Starting kadmind... kadmind was started successfully. The command completed successfully.您还可以使用AIX
mkkrb5srv命令配置NAS KDC服务器。 有关更多信息,请参考mkkrb5srv手册页。运行此命令时,系统要求输入主数据库密码和名为admin的管理主体的密码。 在安全的地方记录名称和选择的密码,因为这些原则对于您的NAS环境至关重要。
- 设置NFS域名。
必须先设置NFS域名,然后才能使用NFS版本4。
清单4. NFS设置服务器
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# chnfsdom in.ibm.com bash-2.05b# chnfsdom Current local domain: in.ibm.com - 在NFS版本4服务器上添加NFS域到域的映射。
在NFS版本4的AIX 5.3实现中,需要在NFS域和所使用的Kerberos领域之间具有交叉关系定义。
清单5. NFS域到领域的映射
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# chnfsrtd -a ADFSAIX1.IN.IBM.COM in.ibm.com bash-2.05b# chnfsrtd -a MSKERBEROS.IN.IBM.COM in.ibm.com bash-2.05b# chnfsrtd adfsaix1.in.ibm.com in.ibm.com mskerberos.in.ibm.com in.ibm.com - 在AIX KDC上创建NFS服务器主体,然后创建NFS服务器密钥表文件条目。
对于KDC环境中的每个NFS服务器,必须定义类型为nfs / <full_qualified_hostname> @REALM的主体,然后创建服务器密钥表文件条目,如下所示:
清单6.创建NFS服务器主体
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# kadmin.local kadmin.local: ank nfs/adfsaix1.in.ibm.com WARNING: no policy specified for nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Enter password for principal "nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM": Re-enter password for principal "nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM": Principal "nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM" created. kadmin.local: kadmin.local: ktadd nfs/adfsaix1.in.ibm.com Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin.local: q bash-2.05b# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------- 2 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM 2 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM 2 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM 2 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM - 在NFS版本4服务器上设置
gssd守护程序。要使用RPCSEC_GSS启用NFS版本4,必须在服务器的密钥表文件和NFS服务器主体之间创建映射文件,如下所示:
清单7.使用RPSEC-GSS启用NFS版本4
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# nfshostkey -p nfs/adfsaix1.in.ibm.com -f /etc/krb5/krb5.keytab bash-2.05b# bash-2.05b# nfshostkey -l nfs/adfsaix1.in.ibm.com /etc/krb5/krb5.keytab - 停止并重新启动NFS守护程序(
gssd和nfsrgyd),以使所有更改生效,并在随后的计算机重新启动时启动守护程序。清单8.停止和重新启动NFS守护程序
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# chnfs -s 0513-004 The Subsystem or Group, gssd, is currently inoperative. bash-2.05b# chnfs -S -B 0513-059 The gssd Subsystem has been started. Subsystem PID is 389192. bash-2.05b# chnfs -v 0513-044 The nfsrgyd Subsystem was requested to stop. bash-2.05b# chnfs -V 0513-059 The nfsrgyd Subsystem has been started. Subsystem PID is 413862.输入
lssrc -g nfs以确保所有NFS守护程序均处于活动状态。 - 从NFS服务器导出目录,该目录只能由Kerberos身份验证的用户或应用程序访问。
清单9.导出目录
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# exportfs -i -o vers=4,sec=krb5 /home/guest bash-2.05b# exportfs /home/guest -vers=4,sec=krb5 - 在本地安装导出的目录,以测试可以通过Kerberos身份验证访问它。
获取用户的Kerberos凭据,然后将NFSv4导出的目录挂载在'/ mnt'上。
清单10.在本地安装导出的目录
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# kinit admin/admin Password for admin/admin@ADFSAIX1.IN.IBM.COM: bash-2.05b# mount -o vers=4,sec=krb5 adfsaix1.in.ibm.com:/home/guest/ /mnt bash-2.05b# bash-2.05b# cd /mnt bash-2.05b# ls -l total 0 bash-2.05b# touch file.txt bash-2.05b# ls file.txt bash-2.05b# klist Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0 Default principal: admin/admin@ADFSAIX1.IN.IBM.COM Valid starting Expires Service principal 08/24/07 01:25:11 08/25/07 01:24:56 krbtgt/ADFSAIX1.IN.IBM.COM@ADFSAIX1.IN.IBM.COM 08/24/07 01:25:21 08/25/07 01:24:56 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM有关使用Kerberos AIX NFS版本4的配置的详细信息,请参阅确保NFS在AIX-简介NFS V4在AIX 5L Version 5.3红皮书(参见相关主题 )。
设置Microsoft Active Directory
要在Microsoft Windows Server 2003上设置Microsoft Active Directory,请参阅Microsoft开发人员网络网站上的相关Microsoft Windows文档(请参阅参考资料 )。 对于这种情况,我们在主机名为windce20.in.ibm.com的机器上配置了Active Directory,并将其命名为Active Directory域MSKERBEROS.IN.IBM.COM ,我们也将其称为在Microsoft Active Directory上运行的Microsoft Kerberos Realm。
IBM NAS KDC Server和Microsoft Active Directory上的域间设置
两台KDC机器都需要执行以下步骤才能在到目前为止已配置的两个领域之间建立一个领域间。
- 将
krbtgt服务主体添加到NAS KDC服务器。为了使一个领域的KDC在另一个领域中对其Kerberos用户进行身份验证,它必须与另一领域中的KDC共享密钥。 因此,您需要创建
krbtgt服务主体以进行跨领域访问。 这些主体必须具有相同的密码,这一点很重要。清单11.将
krbtgt服务主体添加到NAS KDC服务器bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# kadmin.local kadmin.local: ank -pw f1lesystem krbtgt/MSKERBEROS.IN.IBM.COM@ADFSAIX1.IN.IBM.COM WARNING: no policy specified for krbtgt/MSKERBEROS.IN.IBM.COM@ADFSAIX1.IN.IBM.COM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Principal "krbtgt/MSKERBEROS.IN.IBM.COM@ADFSAIX1.IN.IBM.COM" created. kadmin.local: kadmin.local: ank -pw f1lesystem krbtgt/ADFSAIX1.IN.IBM.COM@MSKERBEROS.IN.IBM.COM WARNING: no policy specified for krbtgt/ADFSAIX1.IN.IBM.COM@MSKERBEROS.IN.IBM.COM; defaulting to no policy. Note that policy may be overridden by ACL restrictions. Principal "krbtgt/ADFSAIX1.IN.IBM.COM@MSKERBEROS.IN.IBM.COM" created. - 编辑NAS KDC服务器
/etc/krb5/krb5.conf文件,如下所示:更改Kerberos客户端文件配置,使其具有两个领域的条目。 在这种情况下,我们在[领域]部分中添加了MSKERBEROS.IN.IBM.COM节,并在[domain_realm]部分中添加了windce20.in.ibm.com = MSKERBEROS.IN.IBM.COM条目。
清单12.编辑NAS KDC服务器
/etc/krb5/krb5.conf文件bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# cat /etc/krb5/krb5.conf [libdefaults] default_realm = ADFSAIX1.IN.IBM.COM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc [realms] ADFSAIX1.IN.IBM.COM = { kdc = adfsaix1.in.ibm.com:88 admin_server = adfsaix1.in.ibm.com:749 default_domain = in.ibm.com } MSKERBEROS.IN.IBM.COM = { kdc = windce20.in.ibm.com:88 admin_server = windce20.in.ibm.com:749 default_domain = in.ibm.com } [domain_realm] adfsaix1.in.ibm.com = ADFSAIX1.IN.IBM.COM windce20.in.ibm.com = MSKERBEROS.IN.IBM.COM [logging] kdc = FILE:/var/krb5/log/krb5kdc.log admin_server = FILE:/var/krb5/log/kadmin.log default = FILE:/var/krb5/log/krb5lib.log如果有多台AIX机器充当NFS版本4服务器,请确保在[domain_realm]部分中添加其主机名条目。
- 停止并重新启动
krb5守护程序,以便所有更改生效。清单13.停止并重新启动
krb5守护程序bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# stop.krb5 Stopping /usr/krb5/sbin/krb5kdc... /usr/krb5/sbin/krb5kdc was stopped successfully. Stopping /usr/krb5/sbin/kadmind... /usr/krb5/sbin/kadmind was stopped successfully. The command completed successfully. bash-2.05b# start.krb5 Starting krb5kdc... krb5kdc was started successfully. Starting kadmind... kadmind was started successfully. The command completed successfully. - 验证Windows计算机上的Active Directory配置。
图2在windce20.in.ibm.com上列出了Active Directory的现有设置。
图2.在windce20.in.ibm.com上Active Directory的现有设置
- 在Windows Active Directory计算机上使用以下命令为外部Kerberos领域设置配置。
图3列出了在windce20.in.ibm.com上的Active Directory中添加KDC的输出。
图3. windce20.in.ibm.com上Active Directory中的KDC
- 与Windows Active Directory上的AIX NAS领域创建受信任的域关系。
登录到承载Active Directory的Windows 2003 Server计算机(windce20.in.ibm.com),然后执行以下操作:
- 启动域树管理工具。 单击“ 程序” ,“ 管理工具” ,然后单击“ Active Directory域和信任关系” 。
- 右键单击您的域的属性 ,然后选择“ 信任”选项卡,然后按“ 新建信任” 。 在ADS信任列表中输入要添加的AIX NAS领域。
- 选择“ 领域信任”作为信任类型,选择“ 非传递性”作为信任传递性, “双向”作为信任方向,然后在“ 信任密码”中 ,键入在上面创建
krbtgt服务主体时所传递的密码,例如f1lesystem。 - 此后,将为您的可信领域创建该条目,然后验证其属性。
图4列出了在Active Directory上的Active Directory领域和NAS领域之间添加信任之后的最终输出。
图4.在Active Directory上添加信任后的最终输出
- 确认您能够从NAS服务器计算机上获取ADS主体(管理员)的TGT。
清单14.确认您能够获得ADS主体文件的TGT
bash-2.05b# hostname adfsaix1.in.ibm.com bash-2.05b# kinit administrator@MSKERBEROS.IN.IBM.COM Password for administrator@MSKERBEROS.IN.IBM.COM: bash-2.05b# klist Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0 Default principal: administrator@MSKERBEROS.IN.IBM.COM Valid starting Expires Service principal 08/24/07 01:26:44 08/24/07 11:27:04 krbtgt/MSKERBEROS.IN.IBM.COM@MSKERBEROS.IN.IBM.COM Renew until 08/25/07 01:26:44
设置IBM NAS客户端和AIX NFS版本4客户端:测试方案
- 在AIX 5.3客户机上安装krb5客户机和modcrypt文件集。
我们用来安装的命令是:
清单15.安装krb5客户端和modcrypt文件集
bash-2.05b# hostname nfsaix02.in.ibm.com bash-2.05b# installp -aqXgYd . krb5.client modcrypt.base - 配置AIX NAS客户端,如下所示:
清单16.配置AIX NAS客户机
bash-2.05b# hostname nfsaix02.in.ibm.com bash-2.05b# export PATH=/usr/krb5/bin/:/usr/krb5/sbin/:$PATH bash-2.05b# config.krb5 -C -r ADFSAIX1.IN.IBM.COM -d in.ibm.com -s adfsaix1.in.ibm.com -c adfsaix1.in.ibm.com Initializing configuration... Creating /etc/krb5/krb5_cfg_type... Creating /etc/krb5/krb5.conf... The command completed successfully.也可以使用AIX
然后,修改客户端mkkrb5clnt命令来配置AIX NAS客户机。 有关更多信息,请参见mkkrb5clnt手册页。/etc/krb5/krb5.conf文件,如先前针对NAS服务器所述。 - 设置NFS域名并在NFSv4客户端计算机上添加NFS域到域的映射:
清单17.设置NFS域名并添加NFS域名到领域的映射
bash-2.05b# hostname nfsaix02.in.ibm.com bash-2.05b# chnfsdom in.ibm.com bash-2.05b# chnfsdom Current local domain: in.ibm.com bash-2.05b# chnfsrtd -a ADFSAIX1.IN.IBM.COM in.ibm.com bash-2.05b# chnfsrtd -a MSKERBEROS.IN.IBM.COM in.ibm.com bash-2.05b# chnfsrtd adfsaix1.in.ibm.com in.ibm.com mskerberos.in.ibm.com in.ibm.com - 停止并重新启动NFS守护程序(
gssd和nfsrgyd),以使所有更改生效,并在随后的计算机重新启动时启动守护程序。清单18.停止和重新启动NFS守护程序
bash-2.05b# hostname nfsaix02.in.ibm.com bash-2.05b# chnfs -s 0513-004 The Subsystem or Group, gssd, is currently inoperative. bash-2.05b# chnfs -S -B 0513-059 The gssd Subsystem has been started. Subsystem PID is 413932. bash-2.05b# chnfs -v 0513-044 The nfsrgyd Subsystem was requested to stop. bash-2.05b# chnfs -V 0513-059 The nfsrgyd Subsystem has been started. Subsystem PID is 258122.通过运行
lssrc -g nfs确保所有NFS守护程序现在都处于活动状态。 还要确保所有机器都同时同步。 - 在Microsoft领域中为用户获取TGT,并使用它来访问位于IBM NAS领域中的
krb5安全性的NFS导出数据。清单19.为用户获取TGT
bash-2.05b# hostname nfsaix02.in.ibm.com bash-2.05b# kinit administrator@MSKERBEROS.IN.IBM.COM Password for administrator@MSKERBEROS.IN.IBM.COM: bash-2.05b# mount -o vers=4,sec=krb5 adfsaix1.in.ibm.com:/home/guest/ /mnt bash-2.05b# cd /mnt bash-2.05b# touch new.txt bash-2.05b# ls file.txt new.txt bash-2.05b# klist Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0 Default principal: administrator@MSKERBEROS.IN.IBM.COM Valid starting Expires Service principal 08/24/07 01:26:44 08/24/07 11:27:04 krbtgt/MSKERBEROS.IN.IBM.COM@MSKERBEROS.IN.IBM.COM Renew until 08/25/07 01:26:44 08/24/07 01:26:44 08/24/07 11:27:04 krbtgt/ADFSAIX1.IN.IBM.COM@MSKERBEROS.IN.IBM.COM Renew until 08/25/07 01:26:44 08/24/07 01:27:25 08/24/07 11:27:04 nfs/adfsaix1.in.ibm.com@ADFSAIX1.IN.IBM.COM Renew until 08/25/07 01:26:44
结论
在本文中,您已经了解了如何配置Kerberos(IBM NAS和Microsoft Active Directory)以促进跨组织边界使用AIX NFS版本4以在异构环境中工作。
翻译自: https://www.ibm.com/developerworks/aix/library/au-nfsoverinterrealm/index.html
729
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
