分享
 
 
 

利用AIXV5.3中使用OpenSSH保护通信安全

王朝other·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

学习如何在使用 Microsoft® Active Directory Server 作为密钥分发中心 (KDC) 的 AIX® Version 5.3 计算机上配置 Kerberized Open Secure Shell (OpenSSH)。OpenSSH 对通信(包括密码)进行加密以防止窃听、接管通信连接或窥视数据。如果您工作于具有多供应商解决方案混合环境中的 AIX Version 5.3 系统,那么您会发现本文是非常有价值的。

引言

Open Secure Shell (OpenSSH) 是广泛使用的 SSH 工具中的一种免费的、开放源码的实现,SSH 工具广泛地用于在网络之间进行安全的通信。通过对两台计算机之间的所有通信信息进行加密,它可以排除有人进行探查、接管或窥视您的私有数据的可能性。OpenSSH 还提供了许多身份验证机制以实现额外的安全性。

Kerberos 是一种常用的身份验证机制,它为网络用户的身份验证提供了一种安全手段,并且 OpenSSH 提供了对 Kerberos 的支持。通过对客户端和服务器之间的身份验证消息进行加密,它可以防止在网络上使用明文来传输密码。Kerberos 还以管理令牌或凭据的形式提供了一种授权系统。用于 IBM AIX® Version 5.3 的 OpenSSH 软件 (openssh-3.8.p1) 是 AIX Version 5.3 Expansion Pack CD 附带的软件。通过 IBM 版本的 Kerberos,称为 IBM Network Authentication Service (IBM NAS) Version 1.4,OpenSSH Version 3.8 以及更高的版本提供了对 Kerberos 5 身份验证和授权的支持。还可以从 AIX Version 5.3 Expansion Pack CD 中安装用于 AIX 的 IBM NAS Version 1.4。

Microsoft® Active Directory Service 是 Windows® 平台的重要组成部分,它为各种网络管理和身份验证任务提供了相应的方法。Kerberos 是 Windows Active Directory 实现中不可缺少的一部分,并且它作为 Kerberos 领域的密钥分发中心 (KDC),广泛地应用于企业中。可以在 Windows Server 2003 和 Windows Server 2000 中配置 Microsoft Active Directory Service。

本文将带您了解在使用 Microsoft Active Directory Server 作为 KDC 的 AIX Version 5.3 计算机上配置 Kerberized Open Secure Shell (OpenSSH) 所需的步骤。对于那些工作于由 AIX Version 5.3 系统和 Microsoft Active Directory Server 组成的多供应商解决方案的混合环境中的管理员,本文将是非常有帮助的。

先决条件

要按照本文中的场景进行操作,您需要启动和运行支持 Microsoft Active Directory Domain 的 Kerberos 服务,并且需要为其正确地配置 AIX IBM NAS Version 1.4 客户端。

AIX Version 5.3 上的 OpenSSH 和 Kerberos (IBM NAS)

本部分内容介绍在 AIX 服务器和客户端计算机上安装和配置 Kerberos 和 OpenSSH 所需的初始步骤。AIX Version 5.3 Expansion Pack CD 中附带了 OpenSSH 和 Kerberos。在安装 OpenSSH installp 格式的安装包之前,您必须安装包含加密库的开放安全套接字层 (OpenSSL) 软件。可以从 AIX Toolbox for Linux® Applications CD 中获得 OpenSSL 的 RPM 包,或者您也可以从 AIX Toolbox for Linux Applications 进行下载(请参见参考资料部分)。

在将 OpenSSL 下载到 AIX Version 5.3 计算机的本地目录(本示例中为 /tmp)之后,可以通过运行下面的命令来安装它:

# geninstall -d/tmp R:openssl-0.9.6m

您可以使用下面两种方法中的任何一种来安装 OpenSSH:

smitty->Software Installation and Maintenance->Install and

Update Software->Install Software

或者

# geninstall -I"Y" -d/dev/cd0 I:openssh.base

安装 IBM NAS Version 1.4 客户端,并将其配置为 Kerberos 领域(Active Directory 域),该 Kerberos 领域由 Microsoft Active Directory Server 承载并用作 KDC。有关 IBM NAS 客户端安装及其对 Microsoft Active Directory Server 配置的更详细的信息,请阅读 AIX 白皮书“Configuring AIX 5L for Kerberos Based Authentication Using Windows Kerberos Service”(请参见参考资料部分)。

在成功安装和配置了 IBM NAS 客户端之后,您需要将 OpenSSH 配置为使用 Kerberos 进行身份验证。

编辑 /etc/services 文件,使其包含下列条目:

kerberos

88/udp

kdc

# Kerberos V5 KDCkerberos

88/tcp

kdc

# Kerberos V5 KDCkerberos-adm

749/tcp

# Kerberos 5 admin/changepwkerberos-adm

749/udp

# Kerberos 5 admin/changepw

在 /etc/ssh/sshd_config 中取消对下列条目的注释以使得 SSH 守护进程使用 Kerberos 作为其身份验证机制:

KerberosAuthentication yesKerberosTicketCleanup yes# GSSAPI optionsGSSAPIAuthentication yes

使用下面的命令启动 SSH 服务器: #startsrc -g ssh

使用下面的命令来确认已正确地启动了 SSH 服务器: #ps -ef|grep ssh

AIX Version 5.3 上使用 Windows Kerberos 服务的 Kerberized OpenSSH

本部分内容描述了一个场景,它将带您了解在 AIX Version 5.3 计算机(使用 Microsoft Active Directory Server 作为 KDC)上对 Kerberized SSH 进行配置所需的步骤。

本部分内容假设您已经启动和运行支持 Microsoft Active Directory Domain 的 Kerberos 服务,并且您已为它成功地配置了 AIX IBM NAS Version 1.4 客户端。有关为 Microsoft Active Directory Server 配置 IBM NAS Version 1.4 客户端的更详细的信息,请参阅 IBM NAS Version 1.4 Administration Guide(AIX Version 5.3 Expansion Pack CD 中附带)以及参考资料部分中的 IBM 白皮书。

有关安装和配置 Microsoft Active Directory Server 的更详细的信息,请参阅合适的 Microsoft 文档以了解如何配置 Microsoft Active Directory Server。

下面的示例中将使用下列定义:

Kerberos Realm Name / Domain Name

MSKERBEROS.IN.IBM.COMKDC (Windows Active Directory Server)

hostname: windce20.in.ibm.com, OS: Windows 2003 ServerSSH Server (sshd)

hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3SSH Client

hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3

IBM NAS 1.4 Client

hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3

&

hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3

图 1 显示了该示例的设置。

图 1. 示例设置

要在 AIX 计算机上配置 Kerberized SSH 使得 AIX 的 IBM NAS 客户端配置为 Microsoft Active Directory Server,您需要实施下列步骤。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有