IBM AIX和Microsoft Active Directory与Kerberos和LDAP的集成

配置 Kerberos：

mkkrb5clnt -c pdc1.test.local -r TEST.LOCAL -s pdc1.test.local -d TEST.LOCAL -i LDAP -D

其中：

pdc1.test.local 是域控制器的 FQDN（在两个交换机中）。

TEST.LOCAL 是域名、域的 FQDN，全部大写（在两个交换机中）。

LDAP 是用户注册信息的来源。这将触发 /etc/methods.cfg 中 KRB5LDAP stanza 的创建。

示例输出

Initializing configuration...

Creating /etc/krb5/krb5_cfg_typeCreating /etc/krb5/krb5.confThe command mkkrb5clntcompleted successfully.

编辑 Kerberos 配置文件：

打开生成的 Kerberos 配置文件 (/etc/krb5/krb5.conf) 并进行如下修改。在示例配置文件（本文结尾处）中，可以使用 krb5.conf 作为模板。

要点：

将两个 enctypes 都设置成 arcfour-hmac。

添加 dns_lookup_kdc 和 dns_lookup_realm，并将它们设置成 true。

将本地域控制器的其他 kdc 条目添加到 AIX 框中。（避免 WAN 遍历。）

添加 master_kdc 条目，并让它们指向您的主要本地域控制器。

确保具有适用于大写域、小写域和点分域 (dotted domain) 的解析器。

使用 /usr/krb5/bin/kinit 测试 Kerberos：

/usr/krb5/bin/kinit jgeiger@TEST.LOCAL

这应该提示输入密码，并且不会没有输出返回。（使用任何有效的 AD 帐户。）

示例输出

Password for jgeiger@TEST.LOCAL:

验证是否发布了 Kerberos 票据：

/usr/krb5/bin/klist

这应该返回一个都带有截止日期和更新截止日期的有效票据。

示例输出

Default principal: jgeiger@TEST.LOCALValid starting Expires Service principal01/25/13 13:56:23 01/25/13 23:56:20 krbtgt/TEST.LOCAL@TEST.LOCALRenew until 01/26/13 13:56:23

清除票据缓存（没有输出）。

/usr/krb5/bin/kdestroy

（编辑：淮北站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!