返回
在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc

在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc

ID:21330065

大小:123.00 KB

页数:16页

时间:2018-10-21

在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc_第1页
在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc_第2页
在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc_第3页
在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc_第4页
在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc_第5页
资源描述:

《在 aix 上配置使用 ldap 后端服务器的 ibm network authentication service 主 kdc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在AIX上配置使用LDAP后端服务器的IBMNetworkAuthenticationService主KDC  简介  在Kerberos环境中,KeyDistributionCenter(KDC)起着关键作用。它根据用户的凭证决定是否应该允许用户使用某个服务(比如FTP)。Kerberos用户信息存储在一个数据库中(在遗留的配置中常常是文件系统中的文件)。KDC通过引用这个Kerberos数据库检查用户,然后授予凭证。遗留的Kerberos数据库的主要问题在于,数据库存储在运行KDC的系统本地(尽管它是加密的

2、)。在发生故障时,这会造成单一故障点,风险很大。因此,有必要寻找存储Kerberos数据的其他方法,从而尽可能降低风险。  由于Kerberos数据具有层次化结构,LDAP目录非常适合存储Kerberos数据。在LDAP目录中很容易存储和管理Kerberos信息。LDAP目录还对访问数据的方式提供更好的控制。这使Kerberos管理员能够轻松地在LDAP中存储机密信息(Kerberos用户名和密码、主密钥等等)。另外,LDAP目录还能够提高Kerberos环境的可伸缩性,让管理员能够把KDC放在网络上的任何地方

3、。  本文讨论如何通过配置IBMNAS主KDC和管理服务器(kadmind)使用LDAP目录插件存储IBMNAS身份验证数据。请注意,IBMNAS还有另一个特性,可以使用LDAP目录配置KDC和管理服务器发现。这是一个完全不同的特性,更多信息参见文章IBMNetinistrationserversdiscoveryusingLDAPforAIX(见参考资料)。  另外,还有一个分为三部分的系列讨论使用IBMNAS的从KDC配置。其中一个部分讨论如何把从KDC配置为使用LDAP作为后端服务器,见参考资料。  如何

4、让Kerberos使用LDAP目录?  在Kerberos中,最重要的信息是主体(Kerberos用户)和策略信息。这些信息包括Kerberos主体密码、各种主体属性、主密钥信息(主密钥或主密钥文件位置)和Kerberos策略属性等等。KerberosKDC使用LDAP中存储的主体信息对用户进行身份验证。除了主体信息之外,Kerberos策略信息也存储在LDAP目录中。  另外,AIX支持在LDAP目录中存储常用的用户信息以及相关的Kerberos和LDAP属性。在使用AIX系统的集成登录时,访问这些额外的信息

5、。因此,在AIX上,IBMNASKDC和LDAP目录的组合提供的不仅仅是安全性。  下图说明如何结合使用IBMNASKDC和LDAP目录服务器,并显示这种配置中使用的重要的IBMNAS配置文件。  图1.使用LDAP目录插件的IBMNASKDC  因为LDAP存储敏感的Kerberos信息,而且KDC常常要访问LDAP目录,所以建议保护KDC和LDAP服务器之间的通信。一般情况下,需要使用SSL(SecureSocketLayer)。为IBMNASKDC和LDAP配置SSL超出了本文的范围。  现在配置使用LD

6、AP目录的IBMNASKDC。  配置使用LDAP后端服务器的IBMNAS主KDC  对于AIX上的Kerberos配置,使用IBMNASversion1.4.0.8。可以在AIXexpansionpackCD上找到它,也可以从AIXTivoli®DirectoryServer(ITDS)version6.1。下载链接见参考资料。  在开始实际配置之前,一定要正确地安装和配置LDAP服务器。关于如何安装和配置LDAP服务器,请参考LDAP文档。还要安装IBMNAS。  详细的配置步骤如下:  添加后缀:

7、  首先,在LDAP服务器中添加一个新的后缀来存储Kerberos信息。可以认为这个后缀是存储Kerberos数据的树的根。典型的后缀像ou=india,o=ibm,c=in这样。在LDAP目录中添加这个后缀:  如果LDAP目录服务器正在运行的话,停止它。# /opt/IBM/ldap/V6.1/bin/ibmdirctl -D =root -slapd server is stopped #  添加后缀。  添加后缀ou=india,o=ibm,c=in:# /opt/IBM/ldap/V6.1/sbin/

8、idscfgsuf -I idsldap -s ou=india,o=ibm,c=in -n  You have chosen to perform the follo,c=in' ,c=in'. GLPCSF005I Added suffix: 'ou=india,o=ibm,c=in'. #  启动LDAP目录服务器。# /opt/IBM/ldap/

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。