![nixsky[www.nixsky.com]](/templets/images/toplogo.gif)
要允许 Windows 用户登录到 AIX 5L 操作系统,管理员需要通过在 AIX 5L 操作系统中运行下列命令,对用户的 SYSTEM 和 registry 属性进行正确设置:
# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo |
其中,foo 是 Active Directory 中定义的一个示例用户。
在完成该更改之后,用户 foo 就可以使用其 Windows 密码登录到 AIX 5L 操作系统。
如果要让所有的 Windows 用户都能够登录到 AIX 5L 操作系统,为每个用户进行上述的操作可能非常麻烦。在这些情况下,管理员可以手动编辑 /etc/security/user 文件,并将 default 节的 SYSTEM 和 registry 属性设置为 LDAP。如果 default 节中不包含这些属性,那么需要添加它们。default 节应该与下面所示类似:
default: ... SYSTEM = "LDAP" registry = LDAP ... |
如果已将 default 节更改为 LDAP,这些本地定义的用户可能无法登录到 AIX 5L 操作系统,除非将他们的 SYSTEM 设置为 compat,registry 设置为 files。管理员需要找出这些帐户,并为每个用户运行下面的命令以进行相应的更改。
# chuser SYSTEM=compat registry=files <local user> |
AIX 5L 操作系统的 passwd 命令支持更改 Windows 用户 unicodePwd 密码。如果 Windows Active Directory 需要通过 LDAP 进行密码更改,则必须通过安全连接来实现。有关在 AIX 5L 操作系统中配置 SSL 以使用 Active Directory 的详细信息,请参阅“Integrating AIX into Heterogeneous LDAP Environments”红皮书(参见参考资料部分)。要更改 unicodePwd 密码,AIX 5L 操作系统还需要 APAR IY91922。要检查是否安装了这个 APAR,可以运行下面的命令:
# instfix -ik APAR IY91922 |
配置 AIX 5L 操作系统以通过 Windows 密钥分发中心使用 Kerberos 身份验证
除了通过 LDAP 对用户进行身份验证之外,AIX 5L 还支持通过 Kerberos 协议对 Windows 进行身份验证。使用 Kerberos 的好处是不需要通过网络传输密码,从而提高了安全性。Kerberos 和 LDAP 的结合允许通过 Windows 密钥分发中心 (KDC) 使用 Kerberos 进行用户身份验证,而 LDAP 用户标识通过 Active Directory 完成。因为用户信息来自于 Active Directory,所以不需要在 AIX 5L 操作系统上创建相应的用户标识。这种配置需要在 AIX 5L 操作系统上创建 KRB5ALDAP 复合加载模块。请按照下面的步骤配置 AIX 5L 操作系统。
- 安装 Network Authentication Services (NAS) 文件集。
必须从 AIX 5L Expansion Pack CD 中安装下面的 NAS 文件集:
- krb5.client
- krb5.lic
- 配置 AIX 5L 操作系统以使用 Windows KDC。
- 运行
configure.krb5命令。/usr/krb5/sbin/config.krb5 -C -r <Windows domain name> -d <DNS domain> -c <Windows server name> -s <Windows server name>
例如:# /usr/krb5/sbin/config.krb5 -C -r ADDOMAIN.ABC.COM -d abc.com -c win2003.abc.com -s win2003.abc.com Initializing configuration... Creating /etc/krb5/krb5_cfg_type... Creating /etc/krb5/krb5.conf... The command completed successfully.
对于 Kerberos 领域名,Windows KDC 要求其全部是大写字母。这些设置将会保存到 /etc/krb5/krb5.conf 文件。
- Windows 仅支持
des-cbc-md5和des-cbc-crc加密。编辑 /etc/krb5/krb5.conf 文件的 libdefaults 节以删除所有其他的加密机制,该节应该与如下所示类似:[libdefaults] default_realm = ADDOMAIN.ABC.COM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des-cbc-md5 des-cbc-crc default_tgs_enctypes = des-cbc-md5 des-cbc-crc - 同步 AIX 和 Windows 服务器的时钟。
- 使用有效的 Windows 用户运行
/usr/krb5/bin/kinit命令,并确保该命令成功返回。还需确保/usr/krb5/bin/klist命令显示了该用户的 Kerberos 凭据,如下所示:# /usr/krb5/bin/kinit foo Password for foo@ADDOMAIN.ABC.COM: <enter password> # /usr/krb5/bin/klist Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0 Default principal: foo@ADDOMAIN.ABC.COM Valid starting Expires Service principal 11/27/06 15:33:55 11/28/06 01:33:28 krbtgt/ADDOMAIN.ABC.COM@ADDOMAIN.ABC.COM Renew until 11/28/06 15:33:55 #
- 运行
- 配置 AIX 5L LDAP 以使用 Active Directory。
要使用
mksecldap命令对 AIX 5L LDAP 进行配置以使用 Active Directory,请按照前面的“配置 AIX 5L 以使用 unix_auth 模式与 Active Directory 协同工作”部分中的说明进行操作。不要为用户设置SYSTEM和registry属性,不要修改 /etc/security/user 文件的 default 节。
Power by nixsky Copyright 2004-2008