/usr/krb5/sbin/config.krb5 -C -r <Windows domain name> -d <DNS domain> -c<Windows server name> -s <Windows server name> | 例如:
# /usr/krb5/sbin/config.krb5 -C -r ADDOMAIN.ABC.COM -d abc.com -c win2003.abc.com -s win2003.abc.com Initializing configuration...Creating /etc/krb5/krb5_cfg_type...Creating /etc/krb5/krb5.conf...The command completed successfully. |
对于 Kerberos 领域名,Windows KDC 要求其全部是大写字母。这些设置将会保存到 /etc/krb5/krb5.conf 文件。
Windows 仅支持 des-cbc-md5 和 des-cbc-crc 加密。编辑 /etc/krb5/krb5.conf 文件的 libdefaults 节以删除所有其他的加密机制,该节应该与如下所示类似: [libdefaults] default_realm = ADDOMAIN.ABC.COM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des-cbc-md5 des-cbc-crc default_tgs_enctypes = des-cbc-md5 des-cbc-crc |
同步 AIX 和 Windows 服务器的时钟。使用有效的 Windows 用户运行 /usr/krb5/bin/kinit 命令,并确保该命令成功返回。还需确保 /usr/krb5/bin/klist 命令显示了该用户的 Kerberos 凭据,如下所示: # /usr/krb5/bin/kinit foo Password for foo@ADDOMAIN.ABC.COM: <enter password># /usr/krb5/bin/klistTicket cache: FILE:/var/krb5/security/creds/krb5cc_0Default principal: foo@ADDOMAIN.ABC.COMValid starting Expires Service principal11/27/06 15:33:55 11/28/06 01:33:28 krbtgt/ADDOMAIN.ABC.COM@ADDOMAIN.ABC.COM Renew until 11/28/06 15:33:55# |
配置 AIX 5L LDAP 以使用 Active Directory。 要使用 mksecldap 命令对 AIX 5L LDAP 进行配置以使用 Active Directory,请按照前面的“配置 AIX 5L 以使用 unix_auth 模式与 Active Directory 协同工作”部分中的说明进行操作。不要为用户设置 SYSTEM 和 registry 属性,不要修改 /etc/security/user 文件的 default 节。
创建 KRB5ALDAP 复合加载模块。 向 /usr/lib/security/methods.cfg 文件中手动追加下列内容。
KRB5A: program = /usr/lib/security/KRB5A options = authonly KRB5ALDAP: options = db=LDAP,auth=KRB5A |
或者,如果不需要 TGT 验证,可以按照如下所示设置复合加载模块。在这些情况下,您可以省略步骤 5 和 6,直接转到步骤 7。
KRB5A: program = /usr/lib/security/KRB5A options = tgt_verify=no KRB5ALDAP: options = db=LDAP,auth=KRB5A
|
注册
个人空间
