Kerberos模型认证原理是什么?

官网网址

安装步骤：

主机名必须是可解析的，如果不是DNS服务器可解析，则可以在HOSTS文件中定义主机名。而且主机名需要是FQDN格式。

xxx: 为您自定义的域名，若不是对外网可见的，建议最好确保该域名未被注册过。可以通过如下命令来检测：

FREEIPA服务器在运行时需要执行大量加密 *** 作。因此你的VM必须具有足够可以确保FREEIPA加密 *** 作不会停止的性能。可以安装和配置RNG-TOOLS：

安装完成后编辑配置文件并通过添加如下一行配置来重定向随机数据的输入源。如下所示：

启用并启动RNG-TOOLS：

在安装过程中系统将提示您输入KERBEROS、KERBEROS服务器的主机名以及KERBEROS的管理服务器的主机名。分别输入:XXXCOM、ipaxxxcom、ipaxxxcom

安装过程中您还将遇到与KERBEROS和TOMACAT相关的错误(不过可以放心地忽略它们)

会提示您提供许多配置选项并安装FREEIPA：

第一个提示是是否需要FREEIPA集成DNS，此处不需要。过程中还需要输入两个密码(此密码作为后续认证用)。

打开防火墙之后，让我们通过为管理员用户初始化KERBEROS令牌来验证我们的FREEIPA服务器。对于正常的管理活动已创建管理帐户管理员。提示输入密码时请使用你在配置步骤中为ADMIN用户指定的密码：

检查KERBEROS：

如果成功请尝试查找FREEIPA服务器上是否存在用户ADMIN：

您现在可以从WEB仪表板以及命令行执行任何IPA任务了。要登录WEB仪表板请使用地址(WEB登录用户名为ADMIN。密码是ADMIN用户配置步骤中提供的密码)： >如果您的Mac无法验证凭证，可能是因为您的目录服务器不支持请求的认证方法。要解决此问题，您需要检查您的目录服务器是否支持Kerberos认证。如果不支持，您可以尝试使用NTLM认证，或者更新您的目录服务器以支持Kerberos认证。此外，您还可以尝试使用更新的Mac OS X版本，以确保您的Mac可以正确连接到目录服务器。

Kerberos 为网络用户提供了一种安全的身份验证手段，是最流行的身份验证机制之一。大多数现代 *** 作系统都支持基于 Kerberos（第 5 版）的身份验证。IBM AIX® 53 也支持基于 Kerberos 的身份验证。
Kerberos 的 IBM 版本称为 IBM Network Authentication Service (IBM NAS)，可以从 AIX 53 Expansion Pack CD 安装它。IBM NAS for AIX 同时支持 Kerberos 客户机和 Kerberos 服务器。全球的许多企业都使用 IBM NAS for AIX 作为 Kerberos 域的密钥分发中心 (KDC)。Network File System (NFS) Version 4 部署、IBM DB2® Universal Database™ (DB2® UDB™) 安全、 Kerberized AIX 集成的登录、企业级身份验证等都在使用它。
当今的客户一般都有异构环境，其中混合了 UNIX® 和 Windows® 系统。异构环境的管理员所面对的一个主要挑战是跨不同系统拥有统一的用户 ID 和密码，最好具有集中的身份验证服务器。Microsoft® Windows Server 版本提供了一个称为 Terminal Services 的工具，在 Windows 世界变得广泛流行。该工具允许多个用户同时登录一个 Windows 服务器。Microsoft Windows Server 版本还支持基于 Kerberos 的身份验证，这种身份验证机制与 IBM NAS 是可互 *** 作的。
在本文中，管理员将了解如何配置 Microsoft Windows 2003 Server，以使用 AIX 53 系统上承载的 IBM NAS KDC 来对 Terminal Service 用户进行身份验证。这样的设置不仅提供了 Terminal Service 用户的 Kerberized 身份验证，而且允许用户跨 AIX 和 Windows Server 系统拥有统一的用户 ID 和密码，并且允许应用程序开发人员在跨系统的 Kerberized 应用程序中利用 IBM NAS 和 Windows 之间的 Kerberos 互 *** 作性优点。
场景：AIX 上的 IBM NAS KDC 与 Windows Terminal Service 的 Kerberized 身份验证
我们将使用一个场景来指导您完成所需的相关步骤，以设置 AIX 系统上的 IBM NAS KDC，并通过将 Windows 2003 Server 配置为使用 IBM NAS KDC 来实现 Windows Terminal Service 的 Kerberized 身份验证。
本文中的示例使用了以下定义：
Kerberos 域名
AIXKERBEROSINIBMCOM
KDC (IBM NAS 14)
主机名：fsaix11inibmcom， *** 作系统：AIX 53
Windows Terminal Service
主机名：windce14inibmcom， *** 作系统：Windows 2003 Server（Service Pack 1，附有文章 ID 902336 所描述的 Hotfix）
Kerberos 管理员名称
admin/admin
图 1 显示了该示例的设置。
图 1 示例设置
示例设置
回页首
在 AIX 53 上安装和配置 IBM NAS 服务器
本部分介绍 AIX 53 上的 IBM NAS 服务器 (Kerberos KDC) 安装和配置。
在 AIX 53 上安装 Kerberos KDC
IBM NAS 随 AIX 53 Expansion Pack CD 一起提供。要安装 IBM NAS 服务器包，请安装 krb5serverrte 文件集。可以使用以下命令来安装 NAS 服务器文件集：
[root@fsaix11 / ]# hostname
fsaix11inibmcom
[root@fsaix11 / ]# installp -aqXYgd krb5server
然后导出以下 PATH 以确保从各自的 IBM NAS 目录执行 IBM NAS 命令：
[root@fsaix11 / ]# export PATH=/usr/krb5/sbin:/usr/krb5/bin:$PATH
在 AIX 53 上配置 Kerberos KDC
要在 AIX 计算机上配置 IBM NAS 服务器，请使用下面清单 1 中的命令。在此示例中，我们将使用遗留配置，其中主体存储在本地文件系统上的数据库中。除了使用遗留配置外，还可以使用 LDAP 目录插件将 IBM NAS 服务器配置为使用轻量级目录访问协议 (LDAP)。有关带 LDAP 的 IBM NAS 配置的更多信息，请参阅 AIX Version 53 Expansion Pack CD 附带的 IBM NAS Version 14 Administration Guide。
清单 1 在 AIX 计算机上配置 IBM NAS 服务器
[root@fsaix11 / ]# hostname
fsaix11inibmcom
[root@fsaix11 / ]# /usr/krb5/sbin/configkrb5 -S -d inibmcom -r
AIXKERBEROSINIBMCOM
Initializing configuration
Creating /etc/krb5/krb5_cfg_type
Creating /etc/krb5/krb5conf
Creating /var/krb5/krb5kdc/kdcconf
Creating database files
Initializing database '/var/krb5/krb5kdc/principal' for realm 'AIXKERBEROSINIBMCOM'
master key name 'K/M@AIXKERBEROSINIBMCOM'
You are prompted for the database Master Password
It is important that you DO NOT FORGET this password
Enter database Master Password:
Re-enter database Master Password to verify:
WARNING: no policy specified for admin/admin@AIXKERBEROSINIBMCOM;
defaulting to no policy Note that policy may be overridden by
ACL restrictions
Enter password for principal "admin/admin@AIXKERBEROSINIBMCOM":
Re-enter password for principal "admin/admin@AIXKERBEROSINIBMCOM":
Principal "admin/admin@AIXKERBEROSINIBMCOM" created
Creating keytable
Creating /var/krb5/krb5kdc/kadm5acl
Starting krb5kdc
krb5kdc was started successfully
Starting kadmind
kadmind was started successfully
The command completed successfully
由于 Windows Kerberos 实现目前仅支持 DES-CBC-MD5 和 DEC-CBC-CRC 加密类型，您需要更改 IBM NAS Kerberos 服务器的默认加密设置，以便 Windows 工作站能够向 IBM NAS 服务器验证其身份。必须在承载 IBM NAS KDC 的 AIX 计算机（在此例中为 fsaix11inibmcom）上做出以下更改：
编辑 /var/krb5/krb5kdc/kdcconf 文件，更改 supported_enctypes 的值，使 des-cbc-md5:normal 和 des-cbc-crc:normal 位于加密类型列表的开头。
编辑之后，/var/krb5/krb5kdc/kdcconf 文件的 supported_enctypes 部分应该与以下内容类似：
supported_enctypes = des-cbc-md5:normal des-cbc-crc:normal des3-cbc-sha1:normal
arcfour-hmac:normal aes256-cts:normal
重新启动 AIX NAS 服务器守护进程（例如，krb5kdc 和 kadmind），以使上面的加密类型更改生效。要重新启动 AIX NAS 服务器守护进程，请使用以下命令，如清单 2 所示。
清单 2 重新启动 AIX NAS 服务器守护进程
[root@fsaix11 / ]# stopkrb5
Stopping /usr/krb5/sbin/krb5kdc
/usr/krb5/sbin/krb5kdc was stopped successfully
Stopping /usr/krb5/sbin/kadmind
/usr/krb5/sbin/kadmind was stopped successfully
The command completed successfully

[root@fsaix11 / ]# startkrb5
Starting krb5kdc
krb5kdc was started successfully
Starting kadmind
kadmind was started successfully
The command completed successfully
Windows Terminal Service 用户所需的 Kerberos 主体
现在您需要创建与希望通过网络进行 Kerberized 身份验证的 Windows Terminal Service 用户（和服务）相对应的 Kerberos 主体。在此设置中，您希望使用 AIX 53 计算机 fsaix11inibmcom 上承载的 IBM NAS KDC，对承载 Windows Terminal Service 的 windce14inibmcom 计算机的 "administrator" 用户进行身份验证。您需要在 fsaix11inibmcom 上使用 IBM NAS 的 kadminlocal 命令，创建 Kerberos 主体 administrator 和 host/windce14aixkerberosinibmcom，如下面的清单 3 所示。
清单 3 kadminlocal 命令
[root@fsaix11 / ]# kadminlocal
kadminlocal: ank -pw laurel administrator
WARNING: no policy specified for administrator@AIXKERBEROSINIBMCOM;
defaulting to no policy Note that policy may be overridden by
ACL restrictions
Principal "administrator@AIXKERBEROSINIBMCOM" created
kadminlocal: ank -pw laurel host/windce14aixkerberosinibmcom
WARNING: no policy specified for
host/windce14aixkerberosinibmcom@AIXKERBEROSINIBMCOM;
defaulting to no policy Note that policy may be overridden by
ACL restrictions
Principal "host/windce14aixkerberosinibmcom@AIXKERBEROSINIBMCOM" created
管理员需要创建与每个 需要 Kerberos 身份验证的 Windows Terminal Service 用户相对应的 Kerberos 主体。在此示例中，我们仅针对 "administrator" 主体进行演示。
回页首
Windows 2003 Server Terminal Services 准备工作
如果已经在环境中部署了 Windows 2003 Server Terminal Server，您所需做的工作就是安装 Microsoft Hotfix for Terminal Services。为了使 Terminal Services 能够正确地处理 Windows 2003 Server 上被配置为使用 IBM NAS KDC 的 Kerberized 身份验证，您必须安装 Microsoft 为基于 Windows Server 2003 的 Terminal Server 提供的一个 Hotfix。
安装该 Hotfix（或实施建议的解决办法）以后，您就为配置 Windows 2003 Server 以使用 IBM NAS KDC 和使用 Kerberized 身份验证来运行 Windows Terminal Service 准备就绪了。有关 Microsoft Terminal Server 安装和配置的详细信息，请参阅相关 Microsoft 文档。
配置 Windows 2003 Server（Kerberos 客户机）以使用 IBM NAS 服务器
安装该 Hotfix 以后，您需要配置 Windows 2003 Kerberos 客户机以使用 AIX 53 上的 IBM NAS 服务器。为此，您需要从 Windows 2003 Server CD 下载 Resource Kit Tools，从而安装 Windows Kerberos 实用工具（ksetup、ktpass 等）。

---