学习如何在使用 Microsoft® Active Directory Server 作为密钥分发中心 (KDC) 的 AIX® Version 5.3 计算机上配置 Kerberized Open Secure Shell (OpenSSH)。OpenSSH 对通信(包括密码)进行加密以防止窃听、接管通信连接或窥视数据。如果您工作于具有多供应商解决方案混合环境中的 AIX Version 5.3 系统,那么您会发现本文是非常有价值的。
引言
Open Secure Shell (OpenSSH) 是广泛使用的 SSH 工具中的一种免费的、开放源码的实现,SSH 工具广泛地用于在网络之间进行安全的通信。通过对两台计算机之间的所有通信信息进行加密,它可以排除有人进行探查、接管或窥视您的私有数据的可能性。OpenSSH 还提供了许多身份验证机制以实现额外的安全性。
Kerberos 是一种常用的身份验证机制,它为网络用户的身份验证提供了一种安全手段,并且 OpenSSH 提供了对 Kerberos 的支持。通过对客户端和服务器之间的身份验证消息进行加密,它可以防止在网络上使用明文来传输密码。Kerberos 还以管理令牌或凭据的形式提供了一种授权系统。用于 IBM AIX® Version 5.3 的 OpenSSH 软件 (openssh-3.8.p1) 是 AIX Version 5.3 Expansion Pack CD 附带的软件。通过 IBM 版本的 Kerberos,称为 IBM Network Authentication Service (IBM NAS) Version 1.4,OpenSSH Version 3.8 以及更高的版本提供了对 Kerberos 5 身份验证和授权的支持。还可以从 AIX Version 5.3 Expansion Pack CD 中安装用于 AIX 的 IBM NAS Version 1.4。
Microsoft® Active Directory Service 是 Windows® 平台的重要组成部分,它为各种网络管理和身份验证任务提供了相应的方法。Kerberos 是 Windows Active Directory 实现中不可缺少的一部分,并且它作为 Kerberos 领域的密钥分发中心 (KDC),广泛地应用于企业中。可以在 Windows Server 2003 和 Windows Server 2000 中配置 Microsoft Active Directory Service。
本文将带您了解在使用 Microsoft Active Directory Server 作为 KDC 的 AIX Version 5.3 计算机上配置 Kerberized Open Secure Shell (OpenSSH) 所需的步骤。对于那些工作于由 AIX Version 5.3 系统和 Microsoft Active Directory Server 组成的多供应商解决方案的混合环境中的管理员,本文将是非常有帮助的。
先决条件
要按照本文中的场景进行操作,您需要启动和运行支持 Microsoft Active Directory Domain 的 Kerberos 服务,并且需要为其正确地配置 AIX IBM NAS Version 1.4 客户端。
AIX Version 5.3 上的 OpenSSH 和 Kerberos (IBM NAS)
本部分内容介绍在 AIX 服务器和客户端计算机上安装和配置 Kerberos 和 OpenSSH 所需的初始步骤。AIX Version 5.3 Expansion Pack CD 中附带了 OpenSSH 和 Kerberos。在安装 OpenSSH installp 格式的安装包之前,您必须安装包含加密库的开放安全套接字层 (OpenSSL) 软件。可以从 AIX Toolbox for Linux® Applications CD 中获得 OpenSSL 的 RPM 包,或者您也可以从 AIX Toolbox for Linux Applications 进行下载(请参见参考资料部分)。
在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录(本示例中为 /tmp)之后,可以通过运行下面的命令来安装它:
# geninstall -d/tmp R:openssl-0.9.6m
您可以使用下面两种方法中的任何一种来安装 OpenSSH:
smitty->Software Installation and Maintenance->Install and
Update Software->Install Software
或者
# geninstall -I"Y" -d/dev/cd0 I:openssh.base
安装 IBM NAS Version 1.4 客户端,并将其配置为 Kerberos 领域(Active Directory 域),该 Kerberos 领域由 Microsoft Active Directory Server 承载并用作 KDC。有关 IBM NAS 客户端安装及其对 Microsoft Active Directory Server 配置的更详细的信息,请阅读 AIX 白皮书“Configuring AIX 5L for Kerberos Based Authentication Using Windows Kerberos Service”(请参见参考资料部分)。
在成功安装和配置了 IBM NAS 客户端之后,您需要将 OpenSSH 配置为使用 Kerberos 进行身份验证。
编辑 /etc/services 文件,使其包含下列条目:
kerberos
88/udp
kdc
# Kerberos V5 KDCkerberos
88/tcp
kdc
# Kerberos V5 KDCkerberos-adm
749/tcp
# Kerberos 5 admin/changepwkerberos-adm
749/udp
# Kerberos 5 admin/changepw
在 /etc/ssh/sshd_config 中取消对下列条目的注释以使得 SSH 守护进程使用 Kerberos 作为其身份验证机制:
KerberosAuthentication yesKerberosTicketCleanup yes# GSSAPI optionsGSSAPIAuthentication yes
使用下面的命令启动 SSH 服务器: #startsrc -g ssh
使用下面的命令来确认已正确地启动了 SSH 服务器: #ps -ef|grep ssh
AIX Version 5.3 上使用 Windows Kerberos 服务的 Kerberized OpenSSH
本部分内容描述了一个场景,它将带您了解在 AIX Version 5.3 计算机(使用 Microsoft Active Directory Server 作为 KDC)上对 Kerberized SSH 进行配置所需的步骤。
本部分内容假设您已经启动和运行支持 Microsoft Active Directory Domain 的 Kerberos 服务,并且您已为它成功地配置了 AIX IBM NAS Version 1.4 客户端。有关为 Microsoft Active Directory Server 配置 IBM NAS Version 1.4 客户端的更详细的信息,请参阅 IBM NAS Version 1.4 Administration Guide(AIX Version 5.3 Expansion Pack CD 中附带)以及参考资料部分中的 IBM 白皮书。
有关安装和配置 Microsoft Active Directory Server 的更详细的信息,请参阅合适的 Microsoft 文档以了解如何配置 Microsoft Active Directory Server。
下面的示例中将使用下列定义:
Kerberos Realm Name / Domain Name
MSKERBEROS.IN.IBM.COMKDC (Windows Active Directory Server)
hostname: windce20.in.ibm.com, OS: Windows 2003 ServerSSH Server (sshd)
hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3SSH Client
hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3
IBM NAS 1.4 Client
hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3
&
hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3
图 1 显示了该示例的设置。
图 1. 示例设置
要在 AIX 计算机上配置 Kerberized SSH 使得 AIX 的 IBM NAS 客户端配置为 Microsoft Active Directory Server,您需要实施下列步骤。