IBM AIX和Microsoft Active Directory与Kerberos和LDAP的集成

发布时间：2016-10-15 03:20:10 所属栏目：Unix 来源：网络整理

导读：为什么是 Kerberos 和 LDAP LDAP 对于存储和检索 AIX 用户的用户属性非常有效，但使用 LDAP 进行身份验证仍然需要用户提供一个 AIX 密码和一个 AD 密码。Kerber

为了支持在 AIX 服务器和 Active Directory 之间进行无密码 Kerberos 通信，需要在域控制器上生成一个主机主体 keytab。这可以通过域控制器中的 ktpass 命令完成，而且必须使用一个具有域管理权限的帐户运行此命令。

生成主机主体密钥表：

ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB5_NT_PRINCIPAL /out aix1.keytab /pass examplePassword /crypto RC4-HMAC-NT /mapuser TESTaix1 /kvno 2

其中：

host/aix1.test.local@TEST.LOCAL 是 AIX 主机的 FQDN。请将 host/ 后缀记录下来。

KRB5_NT_PRINCIPAL 是 Kerberos 主体类型。该类型不会发生改变。aix1.keytab 是将要创建的 keytab 文件。该文件将被转移到 AIX 主机，为了清楚起见，该文件被命名为 {hostname}.keytab 。

examplePassword 是将为主机主体设置的密码。该密码应该比较复杂，但您可能永远不会用到它。

RC4-HMAC-NT 是已使用的加密类型。RC4 是 2008 R2 上的 Kerberos 的默认值。

TESTaix1 是 AD 中的计算机对象的 {domain}{hostname} 。

/kvno 2 是密钥版本号。

想提示改变对象密码时回答 yes。请记录所用的密码。

示例输出

C:Windowssystem32>ktpass /princ host/aix1.test.local@TEST.LOCAL /ptype KRB
5_NT_PRINCIPAL /out aix1.keytab /pass examplePassword /crypto RC4-HMAC-NT /mapu
ser TESTaix1 /kvno 2
Targeting domain controller: PDC1.test.local
Successfully mapped host/aix1.test.local to AIX1$.
WARNING: Account AIX1$ is not a user account (uacflags=0x1021).
WARNING: Resetting AIX1$'s password may cause authentication problems if AIX1$ is
being used as a server.
Reset AIX1$'s password [y/n]? y
Password succesfully set!
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to st1iaxnb07.keytab:
Keytab version: 0x502
keysize 70 host/aix1.test.local@TEST.LOCAL ptype 1 (KRB5_NT_PRINCIPAL) vno 2
etype 0x17 (RC4-HMAC) keylength 16 (0xb19656597cd0e7cec30561afaa7e09d4)

注意：/kvno 2 值是通过试验、错误和程序包捕获发现的。在没有将该参数传递给 ktpass 命令的情况下，我没有进行此设置工作。

在 AIX 中复制并导入 keytab 文件：

将您的 keytab 文件通过 SFTP 协议传递到 AIX 服务器。（本例中，该文件是 /tmp/aix1.keytab。）

首先，删除所有现有 keytab。打开 ktutil 并读取 keytab 文件 (rkt)，列出密钥 (l)，然后将 keytab (wkt) 写入默认 Kerberos keytab 文件 (/etc/krb5/krb5.keytab)。

示例输出

rm /etc/krb5/krb5.keytab

/usr/krb5/sbin/ktutil

ktutil: rkt /tmp/aix1.keytab

ktutil: l

slot KVNO Principal------ ------ ------------------------------------------------------>

1 2 host/aix1.test.local@TEST.LOCALktutil: wkt /etc/krb5/krb5.keytab

ktutil: q

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

6/9

首页

尾页