在一些服務(wù)設(shè)置中，我們通常借助其他環(huán)境來完成一些操作工作。例如我們接下里所講的telnet服務(wù)配置Kerberos的相關(guān)內(nèi)容。在Kerberos環(huán)境中,每個(gè)Kerberos服務(wù)是由服務(wù)主體表示的。此服務(wù)主體只是普通的Kerberos主體,其持有用于解密由Kerberos服務(wù)器發(fā)送的響應(yīng)的密鑰。對于telnet服務(wù)也是如此,您將需要在telnet服務(wù)器上創(chuàng)建telnet服務(wù)主體并執(zhí)行一些配置步驟。請執(zhí)行下列分步步驟為telnet服務(wù)配置Kerberos。

如果您已經(jīng)使用 AIX 'mkkrb5clnt' 命令配置Kerberos客戶端,那么您不需要執(zhí)行步驟 1 和 2。'mkkrb5clnt' 命令創(chuàng)建 host 服務(wù)主體并將其存儲在 /var/krb5/security/keytab/<hostname>.keytab 文件中。將此文件鏈接到缺省 keytab 文件 /etc/krb5/krb5.keytab。

在運(yùn)行telnet服務(wù)的計(jì)算機(jī) (fsaix005.in.ibm.com) 上,創(chuàng)建名為“host/<FQDN_telnetd_hostname>”的telnet服務(wù)主體。對于本例,它將是“host/fsaix005.in.ibm.com”。

使用完全限定域名（Fully Qualified Domain Name,FQDN）對于此設(shè)置的正常工作非常關(guān)鍵。

bash-2.05b# hostname  
fsaix005.in.ibm.com  
bash-2.05b# kadmin -p admin/admin  
Authenticating as principal admin/admin with password.  
Password for admin/admin@ISL.IN.IBM.COM:  
kadmin:  addprinc -randkey host/fsaix005.in.ibm.com  
WARNING: no policy specified for host/fsaix005.in.ibm.com@ISL.IN.IBM.COM;  
defaulting to no policy. Note that policy may be overridden by  
ACL restrictions.  
Principal "host/fsaix005.in.ibm.com@ISL.IN.IBM.COM" created. 

將telnet服務(wù)主體添加到 keytab 文件 (/etc/krb5/krb5.keytab) 中。

kadmin:  ktadd host/fsaix005.in.ibm.com  
Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type Triple DES  
cbc  
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.  
Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type ArcFour  
with  
HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.  
Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type AES-256  
CTS  mode  
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.  
Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type DES cbc  
mode  
with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.  
Entry for principal host/fsaix005.in.ibm.com with kvno 3, encryption type AES-128  
CTS mode  
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.  
kadmin:  q  
bash-2.05b# 

如果由于某種原因無法運(yùn)行“kadmin”,則在 KDC 上創(chuàng)建服務(wù)主體并添加到 keytab 文件 (/etc/krb5/krb5.keytab) 中,然后將該 keytab 文件傳送到運(yùn)行 telnetd 的計(jì)算機(jī)（對于本例,是 fsaix005.in.ibm.com）上。

在運(yùn)行telnet服務(wù)的計(jì)算機(jī) (fsaix005.in.ibm.com) 上,運(yùn)行 '/usr/krb5/bin/klist -k' 并檢查條目。

bash-2.05b# hostname  
fsaix005.in.ibm.com  
bash-2.05b# /usr/krb5/bin/klist -k  
Keytab name:  FILE:/etc/krb5/krb5.keytab  
KVNO Principal  
---- ---------  
3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
3 host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
bash-2.05b# 

在運(yùn)行 telnet服務(wù)的計(jì)算機(jī) (fsaix005.in.ibm.com) 上,創(chuàng)建新用戶“vipin”,您將使用該用戶遠(yuǎn)程登錄到 fsaix005。更改該用戶的密碼。

bash-2.05b# hostname  
fsaix005.in.ibm.com  
bash-2.05b# mkuser -R files vipin  
bash-2.05b# passwd vipin  
Changing password for "vipin"  
vipin's New password:  
Enter the new password again:  
bash-2.05b# 

創(chuàng)建具有相同名稱“vipin”的Kerberos主體?？梢詮腒erberos領(lǐng)域中的任何計(jì)算機(jī)（主 KDC 或客戶機(jī)）上完成此操作。#p#

bash-2.05b# hostname  
fsaix005.in.ibm.com  
bash-2.05b# kadmin -p admin/admin  
Authenticating as principal admin/admin with password.  
Password for admin/admin@ISL.IN.IBM.COM:  
kadmin: ank -pw vipin vipin  
WARNING: no policy specified for vipin@ISL.IN.IBM.COM;  
defaulting to no policy. Note that policy may be overridden by  
ACL restrictions.  
Principal "vipin@ISL.IN.IBM.COM" created.  
kadmin:  q  
bash-2.05b# 

轉(zhuǎn)到配置Kerberos 客戶端的任何其他客戶端計(jì)算機(jī) (fakir.in.ibm.com) 上。運(yùn)行 '/usr/krb5/bin/kinit vipin' 以獲取初始Kerberos票證,如下所示:

bash-2.05b# hostname  
fakir.in.ibm.com  
bash-2.05b# /usr/krb5/bin/kinit vipin  
Password for vipin@ISL.IN.IBM.COM:  
bash-2.05b# /usr/krb5/bin/klist  
Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0  
Default principal:  vipin@ISL.IN.IBM.COM  
Valid starting ExpiresService principal  
02/16/08 04:31:41  02/17/08 04:31:39  krbtgt/ISL.IN.IBM.COM@ISL.IN.IBM.COM  
bash-2.05b# 

嘗試遠(yuǎn)程登錄到 telnetd 計(jì)算機(jī) (fsaix005.in.ibm.com)。如果一切順利,系統(tǒng)將要求您輸入密碼,您將以用戶“vipin”的身份登錄。

下面是完成這項(xiàng)工作的命令:

bash-2.05b# hostname  
fakir.in.ibm.com  
bash-2.05b#telnet-l vipin fsaix005.in.ibm.com  
Trying...  
Connected to fsaix005.in.ibm.com.  
Escape character is '^]'.  
[KerberosV5 accepts you as ``vipin@ISL.IN.IBM.COM'' ]  
telnet (fsaix005.in.ibm.com)  
*******************************************************************************  
* *  
* *  
*  Welcome to AIX Version 5.3!*  
* *  
* *  
*  Please see the README file in /usr/lpp/bos for information pertinent to*  
*  this release of the AIX Operating System.  *  
* *  
* *  
*******************************************************************************  
Last unsuccessful login: Wed Feb 13 11:50:40 CST 2008 on /dev/pts/2 from  
land.in.ibm.com  
Last login: Fri Feb 15 12:49:06 CST 2008 on /dev/pts/3 from aixdce8.in.ibm.com  
$ hostname  
fsaix005.in.ibm.com  
$ id  
uid=237(vipin) gid=1(staff)  
$ exit  
Connection closed  
bash-2.05b# hostname  
fakir.in.ibm.com  
bash-2.05b# 

完成配置Kerberos之后，現(xiàn)在是以Kerberos方式運(yùn)行telnet所需完成的全部工作!請注意在發(fā)出telnet命令時(shí)的附加選項(xiàng)（位于上面突出顯示的文本中）。

如果您希望檢查是否確實(shí)獲得telnet服務(wù)主體的票證,請?jiān)诳蛻舳松线\(yùn)行 /usr/krb5/bin/klist 并查看其輸出。您應(yīng)該看到與下面所示類似的內(nèi)容:

bash-2.05b# hostname  
fakir.in.ibm.com  
bash-2.05b# /usr/krb5/bin/klist  
Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0  
Default principal:  vipin@ISL.IN.IBM.COM  
Valid starting ExpiresService principal  
02/16/08 04:31:41  02/17/08 04:31:39  krbtgt/ISL.IN.IBM.COM@ISL.IN.IBM.COM  
02/16/08 04:32:56  02/17/08 04:31:39  host/fsaix005.in.ibm.com@ISL.IN.IBM.COM  
bash-2.05b#