Kerberos authentication between AIX 6.1 and Windows Server 2003 AD
пофакался с запуском кербороса в aix для работы с windows active directory.
не пропадать же экспириенсу :)
1. установить необходимые packages c aix expansion pack:
# lslpp -l |grep krb5
krb5.client.rte 1.5.0.2 COMMITTED Network Authentication Service
krb5.client.samples 1.5.0.2 COMMITTED Network Authentication Service
krb5.doc.en_US.html 1.5.0.2 COMMITTED Network Auth Service HTML
krb5.doc.en_US.pdf 1.5.0.2 COMMITTED Network Auth Service PDF
krb5.lic 1.5.0.2 COMMITTED Network Authentication Service
krb5.msg.en_US.client.rte 1.5.0.2 COMMITTED Network Auth Service Client
krb5.toolkit.adt 1.5.0.2 COMMITTED Network Authentication Service
krb5.client.rte 1.5.0.2 COMMITTED Network Authentication Service
2. добавить /usr/krb5/bin:/usr/krb5/sbin:
в переменную PATH в файле /etc/environment перед путями к java.
будет примерно так PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/krb5/bin:/usr/krb5/sbin:/usr/java5/jre/bin:/usr/java5/bin
3. сгенерировать конфиги кербероса:
# mkkrb5clnt -r DOMAIN.RU -d domain.ru -c dc01.domain.ru -s dc01.domain.ru -D
после запуска mkkrb5clnt в файл methods.cfg добавится следующее
KRB5:
program = /usr/lib/security/KRB5
program_64 = /usr/lib/security/KRB5_64
options = authonly,is_kadmind_compat=no
KRB5files:
options = db=BUILTIN,auth=KRB5
изменить файл krb5.conf на соответствие поддерживаемых windows стандартов
[libdefaults]
default_realm = DOMAIN.RU
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc des-cbc-md5
default_tgs_enctypes = des-cbc-crc des-cbc-md5
4. изменить authenticaton preference mode
#/usr/bin/chauthent -k5 -std
#/usr/bin/lsauthent
Kerberos 5
Standard Aix
5. настроить синхронизацию времени:
# ntpdate dc01.domain.ru
добавить строчки в /etc/ntp.conf
server dc01.domain.ru prefer
запустить демона ntp
# startsrc -s xntpd
проверить синхронизацию
# ntpq
ntpq> peers
remote refid st t when poll reach delay offset disp
=================================================================================
+dc01.domain.ru dc01.domain.ru 6 u 454 512 377 0.61 -15.332 29.01
ntpq> q
#
сделать так, чтобы xntpd запускался автоматически
для этого раскомментировать строку запуска xntpd в файле /etc/rc.tcpip
6. создать учетные записи и ключи:
в домене создать пользователя host_aixmachine (где aixmachine имя хоста aix).
создать для пользователя spn с маппингом на хост
Ktpass -princ host/aixmachine.domain.ru@DOMAIN.RU -mapuser host_aixmachine -pass password -out aixmachine.keytab
скопировать aixmachine.keytab на aix хост
pscp aixmachine.keytab root@aixmachine:/etc/krb5/
скопировать содержимое aixmachine.keytab в дефолтный keytab файл
# ktutil
rkt aixmachine.keytab
wkt /etc/krb5/krb5.keytab
q
#
проверить ключ
kinit host/aixmachine.domain.ru@DOMAIN.RU
Password for host/aixmachine.domain.ru@DOMAIN.RU:
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: host/host/aixmachine.domain.ru@DOMAIN.RU
Valid starting Expires Service principal
03/30/11 11:30:45 03/30/11 21:30:49 krbtgt/ DOMAIN.RU@DOMAIN.RU
Renew until 03/31/11 11:30:45
создать пользователя на aix хосте
mkuser registry=KRB5files SYSTEM=KRB5files testuser01
cсоздать пользователя в домене windows
как это сделать наверное не нужно расписывать.
7. проверить работу:
telnet aixmachine
Trying...
Connected to aixmachine.domain.ru.
Escape character is '^]'.
telnet (aixmachine.domain.ru)
login: testuser01
testuset01's Password:
***************************************************************************
* Welcome to AIX Version 6.1! *
***************************************************************************
echo $AUTHSTATE
KRB5files
не пропадать же экспириенсу :)
1. установить необходимые packages c aix expansion pack:
# lslpp -l |grep krb5
krb5.client.rte 1.5.0.2 COMMITTED Network Authentication Service
krb5.client.samples 1.5.0.2 COMMITTED Network Authentication Service
krb5.doc.en_US.html 1.5.0.2 COMMITTED Network Auth Service HTML
krb5.doc.en_US.pdf 1.5.0.2 COMMITTED Network Auth Service PDF
krb5.lic 1.5.0.2 COMMITTED Network Authentication Service
krb5.msg.en_US.client.rte 1.5.0.2 COMMITTED Network Auth Service Client
krb5.toolkit.adt 1.5.0.2 COMMITTED Network Authentication Service
krb5.client.rte 1.5.0.2 COMMITTED Network Authentication Service
2. добавить /usr/krb5/bin:/usr/krb5/sbin:
в переменную PATH в файле /etc/environment перед путями к java.
будет примерно так PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/krb5/bin:/usr/krb5/sbin:/usr/java5/jre/bin:/usr/java5/bin
3. сгенерировать конфиги кербероса:
# mkkrb5clnt -r DOMAIN.RU -d domain.ru -c dc01.domain.ru -s dc01.domain.ru -D
после запуска mkkrb5clnt в файл methods.cfg добавится следующее
KRB5:
program = /usr/lib/security/KRB5
program_64 = /usr/lib/security/KRB5_64
options = authonly,is_kadmind_compat=no
KRB5files:
options = db=BUILTIN,auth=KRB5
изменить файл krb5.conf на соответствие поддерживаемых windows стандартов
[libdefaults]
default_realm = DOMAIN.RU
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc des-cbc-md5
default_tgs_enctypes = des-cbc-crc des-cbc-md5
4. изменить authenticaton preference mode
#/usr/bin/chauthent -k5 -std
#/usr/bin/lsauthent
Kerberos 5
Standard Aix
5. настроить синхронизацию времени:
# ntpdate dc01.domain.ru
добавить строчки в /etc/ntp.conf
server dc01.domain.ru prefer
запустить демона ntp
# startsrc -s xntpd
проверить синхронизацию
# ntpq
ntpq> peers
remote refid st t when poll reach delay offset disp
=================================================================================
+dc01.domain.ru dc01.domain.ru 6 u 454 512 377 0.61 -15.332 29.01
ntpq> q
#
сделать так, чтобы xntpd запускался автоматически
для этого раскомментировать строку запуска xntpd в файле /etc/rc.tcpip
6. создать учетные записи и ключи:
в домене создать пользователя host_aixmachine (где aixmachine имя хоста aix).
создать для пользователя spn с маппингом на хост
Ktpass -princ host/aixmachine.domain.ru@DOMAIN.RU -mapuser host_aixmachine -pass password -out aixmachine.keytab
скопировать aixmachine.keytab на aix хост
pscp aixmachine.keytab root@aixmachine:/etc/krb5/
скопировать содержимое aixmachine.keytab в дефолтный keytab файл
# ktutil
rkt aixmachine.keytab
wkt /etc/krb5/krb5.keytab
q
#
проверить ключ
kinit host/aixmachine.domain.ru@DOMAIN.RU
Password for host/aixmachine.domain.ru@DOMAIN.RU:
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: host/host/aixmachine.domain.ru@DOMAIN.RU
Valid starting Expires Service principal
03/30/11 11:30:45 03/30/11 21:30:49 krbtgt/ DOMAIN.RU@DOMAIN.RU
Renew until 03/31/11 11:30:45
создать пользователя на aix хосте
mkuser registry=KRB5files SYSTEM=KRB5files testuser01
cсоздать пользователя в домене windows
как это сделать наверное не нужно расписывать.
7. проверить работу:
telnet aixmachine
Trying...
Connected to aixmachine.domain.ru.
Escape character is '^]'.
telnet (aixmachine.domain.ru)
login: testuser01
testuset01's Password:
***************************************************************************
* Welcome to AIX Version 6.1! *
***************************************************************************
echo $AUTHSTATE
KRB5files