aix配置密钥对配置_在AIX上配置单点登录认证

总览

为什么单点登录（SSO）对您的系统有利？ 主要优点是，如果用户的凭据集中存储，则他只需向服务器进行一次身份验证即可开始使用所有系统中的资源。 用户不必为了访问资源而对每个单独的客户端进行身份验证。

SSO还可以提高网络用户的生产率，降低网络运营成本，并提高网络安全性。

图1.AIX®上的SSO认证

图1显示了将AIX配置为集中式身份验证服务器（如Microsoft®Windows®Active Directory服务器）时SSO身份验证的工作方式。

当用户使用SSH / telnet作为AIX client1登录时，将提示用户输入密码。 用户密码将发送到集中式服务器，以证明用户的标识。 验证用户身份后，它将向用户发出服务凭单。 用户可以使用相同的服务票证来访问其他AIX客户机系统，而不必重新输入密码。

请参阅相关主题在AIX上配置Kerberos的开放SSH的信息部分。

SSO验证机制的优点

SSO具有许多优点，例如：

• 单一登录使用集中式服务器进行身份验证，因此相同的凭据可用于访问任何客户端系统。
• SSO减少了为同一用户重新输入用户名和密码所花费的时间。
• SSO减少了到集中式服务器的网络流量。
• SSO对所有用户和所有应用程序使用相同的身份验证方法以证明其身份。
• SSO降低了运营成本和访问数据的时间。
• 用户不必记住太多密码。

范围

本文介绍如何使用Microsoft Windows Active Directory服务器作为Kerberos密钥分发中心（KDC）配置AIX Kerberos客户端，以及如何在各种AIX Kerberos客户端之间实现单点登录认证机制。

配置Microsoft Active Directory服务器

请参阅“ 相关主题”部分，以获取有关在Windows 2003上配置Microsoft Active Directory服务器的文档。

还要确保KDC已启动并正在运行。 可以从服务窗口中验证。 （ 程序->管理工具->服务 ）。 如果Kerberos KDC未运行，请右键单击并选择“ 启动”选项以启动KDC服务器。

使用Microsoft Active Directory服务器配置AIX Kerberos客户端

使用smit或installp命令在AIX客户机系统上安装Kerberos文件集。 这些文件集可在AIX扩展CD或可以下载它们（请参阅相关主题下载信息部分）。

#lslpp –l | grep krb5
krb5.client.rte                     1.4.0.7  COMMITTED  Network Authentication Service
krb5.client.samples            1.4.0.7  COMMITTED  Network Authentication Service
krb5.msg.en_US.client.rte  1.4.0.7  COMMITTED  Network Auth Service Client

确保可以从AIX客户端访问Microsoft Active Directory服务器。 然后，按照以下步骤针对Microsoft Active目录服务器配置AIX Kerberos客户端。

1. 如果先前在AIX客户端上配置了Kerberos客户端，请运行以下命令。 如果不是，请跳过此步骤。

   #/usr/sbin/unconfig.krb5
    Warning: All configuration information will be removed.
    Do you wish to continue? [y/n]
     y
    Removing configuration...
    The command completed successfully

2. 使用config.krb5命令配置AIX Kerberos客户端。 在这里，Microsoft Active Directory 2003被选为Kerberos服务器。 下列选项需要与config.krb5命令一起使用。
   • -r领域= Windows 2003 Active Directory服务器域名
   • -d domain =托管Windows 2003 Active Directory服务器的计算机的域名
   • -c KDC = Windows 2003服务器的主机名
   • -s服务器= Windows 2003服务器的主机名

   #config.krb5 -C -r ZTRANS.IBM.COM -d in.ibm.com -c windows2k3.in.ibm.com 
        -s windows2k3.in.ibm.com 
   Initializing configuration...
   Creating /etc/krb5/krb5_cfg_type... 
   Creating /etc/krb5/krb5.conf... 
   The command completed successfully.

3. Microsoft Windows Active Directory服务器不支持所有加密机制。 对/etc/krb5/krb5.conf文件进行以下更改，以支持票证加密算法。

   编辑文件，如下所示：

   ….
           default_tkt_enctypes = des-cbc-crc des-cbc-md5 
           default_tgs_enctypes = des-cbc-crc  des-cbc-md5

4. 将以下条目添加到“ /usr/lib/security/methods.cfg”文件中：

   KRB5A: 
                           program = /usr/lib/security/KRB5A 
                           options = authonly
         KRB5Afiles: 
         options = db=BUILTIN,auth=KRB5A

5. 在Microsoft Windows 2003 Active Directory上，使用AIX主机名为AIX客户端创建一个用户名。

   例如，在这种情况下，AIX客户机的主机名是indus52.in.ibm.com。 因此，请在Windows Active Directory上将用户名为indus52。 创建用户时，提示输入用户密码。 为用户提供有效的密码。

6. 在Microsoft Active Directory服务器上，运行ktpass命令以为AIX客户端生成密钥表文件。

   默认情况下，ktpass命令不会安装在Windows 2003服务器上。 可以从Windows 2003 CD的“支持工具”目录下安装此命令。

   ktpass –princhost/[email protected]  -mapuser indus52 
        -pass admin –kvno 3 -out indus52.keytab

   请注意，在Windows 2003中，默认情况下，ktpass会生成KVNO（密钥版本号）为1。当AIX客户端尝试连接到AD时，AD 2003始终返回三个，这与密钥表中的KVNO要求不匹配。文件。 通过提供-kvno 3选项，用KVNO 3生成密钥表文件。

   以二进制方式将此密钥表（indus52.keytab）文件复制到AIX Kerberos客户机（indus52.in.ibm.com）。

7. 使用ktutil命令将复制的文件合并到/etc/krb5/krb5.keytab文件中。

   $ ktutil
     ktutil: rkt indus52.keytab
     ktutil: wkt /etc/krb5/krb5.keytab
     ktutil: q

   在ktutil上使用list命令查看keytab的值：

   Ktutil: list
   Slot     KVNO     Principal
   ------   -----------    -----------------------------------------------
   1          3host/[email protected] 

8. 在与Windows 2003用户帐户对应的AIX客户端上创建一个用户。

   确保在AIX Kerberos客户端上正确配置了用户属性，以使用户可以针对AIX客户端进行身份验证。

9. 使用kinit来检查是否已针对Kerberos服务器对用户进行身份验证。

   # ./usr/krb5/bin/kinit test                                      
   Password for [email protected]:                                                  
   #

10. 验证新创建的用户是否能够使用ssh / telnet登录到AIX客户端。

在AIX上实现SSO认证

确保已将AIX Kerberos客户端成功配置到Windows Active Directory服务器，并验证用户是否能够使用ssh / telnet协议成功登录。

请按照以下步骤在AIX上实现SSO。 当将AIX配置为AIX Kerberos LDAP服务器的客户机时，这些步骤是相同的​​。

1. 使用chauthent命令在AIX系统上启用认证方法。 chauthent命令根据用户设置的标志设置所​​需的身份验证方法。 缺省情况下，AIX系统配置有标准的AIX认证机制。 使用chauthent命令在系统上配置Kerberos身份验证机制，如下所示：

   #chauthent –k5 –std

   lsauthent命令列出了在系统上配置的身份验证方法：

   #lsauthent
   Kerberos 5
   Standard AIX

2. 使用telnet / SSH以测试用户身份登录，并使用/ usr / krb5 / bin / kinit命令为Kerberos用户生成可转发票证：

   #/usr/krb5/bin/kinit –f test
   Password [email protected] :
   #

   kinit命令为测试用户生成可转发票证。 可以使用带有-f选项的klist命令列出票证的属性：

   #/usr/krb5/bin/klist -f
   Ticket cache: /tmp/krb5cc_320
   Default principal: [email protected]
   Valid starting      Expires             Service principal
   31/03/08 19:06:25  31/03/00 19:16:25  krbtgt/[email protected]
           Flags: FRIA

   该标志的属性是：

   • F –可转发
   • R –可再生
   • 我-初始
   • A –预认证

   用户可以使用此可转发票证向不同的AIX客户端进行telnet / SSH登录，而无需提供密码。

   telnet命令可以在系统上按以下方式使用：

   # telnet –F –l test indus61.in.ibm.com

---

翻译自: https://www.ibm.com/developerworks/aix/library/au-configsinglesignon/index.html