IBM AIX和Microsoft Active Directory与Kerberos和LDAP的集成

发布时间：2016-10-16 20:19:49 所属栏目：Unix 来源：站长网

导读：副标题#e# 为什么是 Kerberos 和 LDAP LDAP 对于存储和检索 AIX 用户的用户属性非常有效，但使用 LDAP 进行身份验证仍然需要用户提供一个 AIX 密码和一个 AD 密码。Kerberos 支持 AIX 使用本地 AD 协议，参照用户的 Microsoft Windows 密码进行用户身份验证

为了支持在 AIX 服务器和 Active Directory 之间进行无密码 Kerberos 通信，需要在域控制器上生成一个主机主体 keytab。这可以通过域控制器中的 ktpass 命令完成，而且必须使用一个具有域管理权限的帐户运行此命令。

生成主机主体密钥表：

ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB5_NT_PRINCIPAL /out aix1.keytab /pass examplePassword /crypto RC4-HMAC-NT /mapuser TESTaix1 /kvno 2

其中：

host/aix1.test.local@TEST.LOCAL 是 AIX 主机的 FQDN。请将 host/ 后缀记录下来。

KRB5_NT_PRINCIPAL 是 Kerberos 主体类型。该类型不会发生改变。aix1.keytab 是将要创建的 keytab 文件。该文件将被转移到 AIX 主机，为了清楚起见，该文件被命名为 {hostname}.keytab 。

examplePassword 是将为主机主体设置的密码。该密码应该比较复杂，但您可能永远不会用到它。

RC4-HMAC-NT 是已使用的加密类型。RC4 是 2008 R2 上的 Kerberos 的默认值。

TESTaix1 是 AD 中的计算机对象的 {domain}{hostname} 。

/kvno 2 是密钥版本号。

想提示改变对象密码时回答 yes。请记录所用的密码。

示例输出

C:Windowssystem32>ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB
5_NT_PRINCIPAL /out aix1.keytab /pass examplePassword /crypto RC4-HMAC-NT /mapu
ser TESTaix1 /kvno 2
Targeting domain controller: PDC1.test.local
Successfully mapped host/aix1.test.local to AIX1$.
WARNING: Account AIX1$ is not a user account (uacflags=0x1021).
WARNING: Resetting AIX1$'s password may cause authentication problems if AIX1$ is
being used as a server.
Reset AIX1$'s password [y/n]? y
Password succesfully set!
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to st1iaxnb07.keytab:
Keytab version: 0x502
keysize 70 host/aix1.test.local@TEST.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 2
etype 0x17 (RC4-HMAC) keylength 16 (0xb19656597cd0e7cec30561afaa7e09d4)

注意：/kvno 2 值是通过试验、错误和程序包捕获发现的。在没有将该参数传递给 ktpass 命令的情况下，我没有进行此设置工作。

在 AIX 中复制并导入 keytab 文件：

将您的 keytab 文件通过 SFTP 协议传递到 AIX 服务器。（本例中，该文件是 /tmp/aix1.keytab。）

首先，删除所有现有 keytab。打开 ktutil 并读取 keytab 文件 (rkt)，列出密钥 (l)，然后将 keytab (wkt) 写入默认 Kerberos keytab 文件 (/etc/krb5/krb5.keytab)。

示例输出

rm /etc/krb5/krb5.keytab

/usr/krb5/sbin/ktutil

ktutil: rkt /tmp/aix1.keytab

ktutil: l

slot KVNO Principal------ ------ ------------------------------------------------------>

1 2 host/aix1.test.local@TEST.LOCALktutil: wkt /etc/krb5/krb5.keytab

ktutil: q

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

8/12

首页

尾页