Kerberos简介
Kerberos是一种用户身份验证协议,可用于采用对称加密的票证机制。 在IBM®AIX®中,Kerberos协议是通过网络认证服务提供的。 因此,在本文中,我们将交替使用Kerberos和网络身份验证服务。
从高层次上讲,Kerberos身份验证在客户端/服务器模型上起作用,客户端与服务器联系以获得票证。 在这里,客户端可以是用户或服务(例如:Telnet,FTP,SSH,IPsec等)。 在Kerberos身份验证过程中,服务器和客户端之间交换以下两种类型的票证:
- 机票授予票(TGT)
- 服务票
在Kerberos中,要认证的用户或服务称为principal 。
服务器,通常称为密钥分发中心(KDC),包含其网络内所有主体的私钥。 该服务器包含两部分:身份验证服务器和票证授予服务器。 您可以注意到,配置了网络身份验证服务服务器后,守护程序(krb5kdc)开始运行。 该守护程序执行KDC的以下任务:
- 客户端向KDC发送请求。
- KDC的身份验证服务器检查请求,并将TGT发送给客户端。 使用客户端的密码对该TGT进行加密。 因此,只有客户端才能解密此消息,这可以作为客户端身份的证明。
- 如果客户端需要使用任何服务,则客户端会向KDC发送另一个请求。 该请求包括TGT及其需要使用的服务。
- 现在,此请求由KDC的票证授予服务器处理。 它验证请求并向客户端系统发出服务票证。 这可以作为服务方客户身份的证明。
- 客户端将服务票证转发到它需要使用的服务。
- 该服务与KDC的票证授予服务器联系,以对票证进行验证,最后,它向用户提供访问权限以使用该服务。
图1. Kerberos配置
IPsec简介
IPsec是在网络堆栈的IP层提供安全性的协议。 这样可以确保在两个系统之间传输的所有数据包都经过加密。
可以通过预共享密钥,公共密钥基础结构或Kerberos身份验证机制来实现两个通信系统之间的身份验证。 图2表示基本的IPsec配置。
图2. IPsec基本配置
本文介绍了如何将Kerberos身份验证与IPsec协议一起使用,以确保对两个系统之间传输的所有数据包进行加密。
先决条件
在我们使用Kerberos身份验证执行IPsec之前,请确保满足以下先决条件,否则将在安装过程中导致失败:
- 确保所有AIX系统上的主机名均为标准域名(FQDN)形式。
- 默认情况下,设置了Java™的某些命令。 因此,请确保已更改
PATH
环境变量,以考虑/ usr / krb5 / sbin和/ usr / krb5 / bin /中的Kerberos命令路径。 - Kerberos票证包含有关票证生成时间的信息,并且在几分钟的间隔内有效。 因此,请确保交互系统之间的时间同步与系统之间的最大差异为5分钟。
本文范围
根据本文,我们将配置三个系统:
- 一个系统将配置为Kerberos服务器,它提供身份验证服务和票证授予服务
- 在其他两个系统之间将建立一个IPsec通道
- 一个系统充当IPsec启动器。
- 另一个系统充当IPsec响应者。
对于Kerberos身份验证,要求IPsec启动器系统获得初始TGT并使用IPsec响应器系统上提供的IPsec服务。 因此,这两个系统也都充当Kerberos客户端系统。
配置完这些系统后,我们可以从IPsec启动器系统ping通IPsec响应器系统,并验证IPsec隧道是否处于活动状态。 我们还可以确认Kerberos票证是否在Kerberos客户端系统上正确获得。
图3.带有Kerberos配置的IPsec
如图3所示,我们将britmanual06配置为Kerberos服务器系统,将britmanual07配置为IPsec启动器系统,将britmanual08配置为IPsec响应器系统。 将在britmanual07和britmanual08系统之间建立IPsec隧道。
配置步骤
使用kerberos身份验证执行IPsec所需的配置步骤可以分为以下两个阶段:
- 将一个系统配置为Kerberos服务器,将其他两个系统配置为Kerberos客户端。
- 将一个Kerberos客户端系统配置为IPsec启动器,将另一个客户端系统配置为IPsec响应器。
1.配置Kerberos服务器和Kerberos客户端系统
您需要执行以下步骤来配置Kerberos服务器和客户端系统:
- 确保在所有三个(服务器和客户端)系统上都安装了与Kerberos相关的文件集(如前所述,一个系统将用作Kerberos服务器,并且Kerberos文件集的安装将显示以下输出:
# installp -acXYgd . * +-----------------------------------------------------------------------------+ Pre-installation Verification... +-----------------------------------------------------------------------------+ Verifying selections...done Verifying requisites...done Results... SUCCESSES --------- Filesets listed in this section passed pre-installation verification and will be installed. Selected Filesets ----------------- krb5.client.rte 1.6.0.3 # Network Authentication Servi... krb5.client.samples 1.6.0.3 # Network Authentication Servi... krb5.lic 1.6.0.3 # Network Authentication Servi... krb5.server.rte 1.6.0.3 # Network Authentication Servi... krb5.toolkit.adt 1.6.0.3 # Network Authentication Servi... << End of Success Section >> +-----------------------------------------------------------------------------+ BUILDDATE Verification ... +-----------------------------------------------------------------------------+ Verifying build dates...done FILESET STATISTICS ------------------ 5 Selected to be installed, of which: 5 Passed pre-installation verification ---- 5 Total to be installed +-----------------------------------------------------------------------------+ Installing Software... +-----------------------------------------------------------------------------+ installp: APPLYING software for: krb5.lic 1.6.0.3 ……………………………………………..…………………………………………….. ……………………………………………..…………………………………………….. ……………………………………………..…………………………………………….. ……………………………………………..…………………………………………….. ……………………………………………..…………………………………………….. +-----------------------------------------------------------------------------+ Summaries: +-----------------------------------------------------------------------------+ Installation Summary -------------------- Name Level Part Event Result ------------------------------------------------------------------------------- krb5.lic 1.6.0.3 USR APPLY SUCCESS krb5.client.rte