「網路鑑別服務 (NAS)」的 IBM® Kerberos 實作隨附在擴充套件中。
若要安裝 Kerberos 第 5 版的伺服器套件,請執行下列指令,以安裝 krb5.server.rte 檔案集:
installp –aqXYgd . krb5.server
如果配置為 Kerberos 伺服器的機器也用作 Kerberos 用戶端,請安裝整個 Kerberos KRB5 套件。
DCE 也具有一組 Kerberos 用戶端公用程式,其名稱與 Kerberos 公用程式相同。為了避免 DCE 與 Kerberos 指令之間 (亦即 klist、kinit 及 kdestroy 指令之間) 發生名稱空間衝突,Kerberos 指令安裝在 /usr/krb5/bin 及 /usr/krb5/sbin 目錄下。
若要執行 Kerberos 指令,則您必須指定完整的指令路徑名稱,除非將 Kerberos 目錄新增至 PATH 定義,如下所示:
export PATH=$PATH:/usr/krb5/sbin:/usr/krb5/bin
註: Java14 SDK 也會安裝 kinit 指令,且會位於 PATH 環境變數中其他 kinit 指令的前面。如果需要「網路鑑別服務」指令替代 Java14 kinit 程式,請將 Java14 kinit 程式移至 PATH 定義中的其他位置。
krb5.doc.lang.pdf|html 套件附有「網路鑑別服務文件」,其中 lang 代表支援的語言。
AIX® 具有兩個資料庫模組,可用來形成複合載入模組:LDAP 及 BUILTIN。LDAP 模組用來存取儲存在 LDAP 登錄上的資訊 (目錄),而 BUILTIN 模組用來存取儲存在檔案登錄上的資訊 (本端檔案系統)。建立的複合載入模組通常命名為KRB5files 或 KRB5LDAP。這些名稱指出 KRB5 用於鑑別及本端檔案或用於 LDAP。
「網路鑑別服務」也支援將 Kerberos 資訊儲存在本端檔案系統 (Kerberos「舊式」資料庫) 或 LDAP 中。共有四種可能的配置:
•KRB5files 與儲存在 Kerberos「舊式」資料庫中的 Kerberos 伺服器資訊
•KRB5files 與儲存在 Kerberos LDAP 資料庫中的 Kerberos 伺服器資訊
•KRB5LDAP 與儲存在 Kerberos「舊式」資料庫中的 Kerberos 伺服器資訊
•KRB5LDAP 與儲存在 Kerberos LDAP 資料庫中的 Kerberos 伺服器資訊
當 LDAP 用作儲存 Kerberos 主體或 AIX 使用者及群組資訊的儲存體機制時,請在呼叫 Kerberos 配置指令之前配置 LDAP。配置 LDAP 之後,使用 mkkrb5srv 指令來配置 Kerberos 伺服器。
•配置具有舊式資料庫儲存區的網路鑑別服務
您可以使用 mkkrb5srv 指令,設定具有舊式 Kerberos 資料庫的「網路鑑別服務 KDC」及管理伺服器,並配置「網路鑑別服務」伺服器。
•配置具有 LDAP 儲存體的 Kerberos 伺服器
您可以使用 mkkrb5srv 指令來設定「網路鑑別服務」kadmin 及 KDC 伺服器,以進行 Kerberos 整合性登入。
•配置 Kerberos 整合性登入
在 Kerberos 安裝完成之後,您必須配置系統,將 Kerberos 用作使用者鑑別的主要途徑。
•錯誤訊息及回復動作
下面是在使用 mkkrb5srv 指令時可能發生的錯誤:
•建立的檔案
mkkrb5srv 指令會建立下列檔案:
•範例執行
本節提供執行範例的示範。
留言列表
