级别: 中级 Umesh Prabhakar Gaikwad (ugaikwad@in.ibm.com), 软件工程师, IBM
Sachin Punadikar (psachin@in.ibm.com), 软件工程师, IBM
2008 年 1 月 14 日 本文为那些从 DCE 或者 DFS 迁移到 Kerberos/NFS V4 的 DCE 或者 DFS 用户提供了指导。在转换期间,这些用户需要经过身份验证和授权,以便同时使用 DFS 和 NFS V4 目录。本文解答了一些基本的问题,比如“可以使用 DCE 身份验证服务器作为带 Kerberos 客户端的 NFS V4 的 Kerberos 服务器吗?”
引言
IBM® 分布式文件系统(Distributed File System,DFS)需要使用分布式计算环境(Distribute Computing Environment,DCE)作为其先决条件。网络文件系统(Network File System,NFS)是在网络中存储文件的分布式文件系统,它允许您访问远程系统中的文件和目录,并将这些文件和目录作为本地文件和目录进行处理。NFS 版本 4 (NFS V4) 是 NFS 的、最新定义的客户端到服务器的协议。NFS V4(NFS V3 的重大升级)定义于 IETF 的框架之下,并且在实现和使用 NFS 的方式上引入了一些更改,包括更强的安全性、广域网共享以及更广泛的平台适应性。NFS V4 使用 Kerberos 实现和 IBM Network Authentication Service (NAS) 来提供安全性。
本文为您提供了相应的指导和配置步骤,以便同时对 DFS 和 NFS V4 目录进行访问。当您从 DFS 迁移到 NFS V4 的时候,这些指导和配置步骤将是非常有用的。本文还解答了一些常见的问题,如:
- 可以使用 DCE 身份验证服务器作为带 Kerberos 客户端的 NFS V4 的 Kerberos 服务器吗?
- 需要配置另一个 Kerberos 或者 NAS 服务器吗?
- 可以使用 DCE 凭据(证书)吗?
图 1. 问题
本文假定已具备以下条件:
- DCE 和 DFS 配置已经存在。出于完整性考虑,提供了用以设置 DCE 单元的命令。
- 在缺省情况下,IBM AIX® 5.3.0.0 附带了 NFS V4。在 AIX 5.3 Expansion Pack 中,提供了 IBM NAS 和 NFS V4 文件集。
NFS 和 DCE 安全服务器使用的安全层遵循 Kerberos 协议(版本 5)。因此,可以将 DCE 安全服务器作为密钥分发中心 (KDC),以进行 Kerberos 客户端身份验证。DCE 安全服务器只支持 DES 加密类型,因此 Kerberos 客户端也只支持 DES 加密类型。因为 DCE 不支持 kadmind 服务器(通常这是必须的,由 IBM NAS 所提供),所以您不能使用 kadmin 接口进行 NAS 管理。需要使用各种 DCE 服务,以便进行管理。
设置 DCE
在 AIX 中,可以使用 config.dce 脚本来安装和配置 DCE 服务器。有关附加信息,请参见 IBM Distributed Computing Environment Version 3.2 for AIX and Solaris Administration Guide:Introduction(请参见参考资料)。
下面的示例将在主机名为 aixdce17.in.ibm.com 的 AIX 系统中配置 DCE。对于这个场景和配置,cell_admin 的密码为 test。
#config.dce -cell_name migrate_test -cell_admin cell_admin
-dce_hostname aixdce17.in.ibm.com sec_srv cds_srv
#show.cfg
Gathering component state information...
Component Summary for Host: aixdce17.in.ibm.com
Component Configuration State Running State
Security Master server Configured Running
Security client Configured Running
RPC Configured Running
Initial Directory server Configured Running
Directory client Configured Running
The component summary is complete.
|
在配置了 DCE 之后,请检查 /etc/krb5.conf 文件。aixdce17.in.ibm.com 上 /etc/krb5.conf 的示例内容如下:
$cat /etc/krb5.conf
[libdefaults]
default_realm = migrate_test
default_keytab_name = /krb5/v5srvtab
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
[realms]
migrate_test = {
kdc = aixdce17.in.ibm.com:88
}
[domain_realm]
aixdce17.in.ibm.com = migrate_test
|
为 NFS 服务器设置 NAS 客户端
下面的命令将为主机 aixdce17.in.ibm.com 上的 DCE 服务器配置一个 NAS 客户端。这个示例 IBM NAS 客户端配置于 aixdce3.in.ibm.com 上。
#config.krb5 -C -r migrate_test -d in.ibm.com -c aixdce17.in.ibm.com
-s aixdce17.in.ibm.com
|
在完成配置之后,请检查 /etc/krb5/krb5.conf 文件。aixdce3.in.ibm.com 上 /etc/krb5.conf 的示例内容如下:
# cat /etc/krb5/krb5.conf
[libdefaults]
default_realm = migrate_test
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
des-cbc-crc
default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5
des-cbc-crc
[realms]
migrate_test = {
kdc = aixdce17.in.ibm.com:88
admin_server = aixdce17.in.ibm.com:749
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = migrate_test
aixdce17.in.ibm.com = migrate_test
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
|
修改 NAS 客户端配置
检查由 DCE 所创建的 krb5.conf 文件和由 NAS 所创建的 krb5.conf 文件之间的差别。您将看到在 DCE 和 NAS 客户端的加密类型上存在差别。修改 NAS 客户端的 krb5.conf 文件,以便它可以使用 DCE 提供的加密类型,并且删除 admin_server 的详细信息,因为您正在使用 DCE 配置 NAS 客户端。因此,在 NAS krb5 conf 文件中不需要 admin_server 节。这个示例显示了 aixdce3.in.ibm 上经过修改的 NAS 客户端的 krb5.conf 文件。
[libdefaults]
default_realm = migrate_test
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
[realms]
migrate_test = {
kdc = aixdce17.in.ibm.com:88
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = migrate_test
aixdce17.in.ibm.com = migrate_test
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
|
当在 aixdce3.in.ibm.com 上尝试使用 kinit 命令获得相关凭据(使用主体 cell_admin,密码为 test)时,将显示下面的错误消息:
# kinit cell_admin
Unable to obtain initial credentials.
Status 0x96c73a26 - Incorrect net address.
|
如果您在 DCE 中为 KDC 组件启用了 syslog 日志记录,那么您将发现,NAS 客户端向 KDC 发送了一则不包含网络地址的请求。而作为响应,KDC 发送一条网络地址错误的消息给 NAS 客户端。下面的 syslog 消息显示了 NAS 客户端和 DCE KDC 服务器之间的对话:
g 10 00:51:55 aixdce17 secd[17538]: AS_REQ 9.182.192.103(88): NO ADDRESS: cell_admin
@migrate_test for krbtgt/migrate_test@migrate_test, Incorrect net address (dce / krb)
|
要解决这个问题,可以修改 NAS 客户端的 krb5.conf 文件,在加密类型规范下面添加一节 noaddresses = false。示例 NAS 客户端 krb5.conf 文件如下所示:
[libdefaults]
default_realm = migrate_test
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
noaddresses = false
[realms]
migrate_test = {
kdc = aixdce17.in.ibm.com:88
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = migrate_test
aixdce17.in.ibm.com = migrate_test
[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log
|
注意:输入下面的命令,以便使 NAS 客户端 aixdce3.in.ibm.com 的时钟与 DCE 服务器 aixdce17.in.ibm.com 的时钟保持同步:
#setclock aixdce3.in.ibm.com
Tue Aug 14 05:25:56 2007
|
输入下面的命令,以便从 aixdce3.in.ibm.com 的 NAS 客户端获得来自 DCE KDC 的相关凭据:
# which kinit
/usr/krb5/bin/kinit
# kinit cell_admin
Password for cell_admin@migrate_test:
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: cell_admin@migrate_test
Valid starting Expires Service principal
08/14/07 05:27:33 08/15/07 05:27:32 krbtgt/migrate_test@migrate_test
|
您可以从 DCE 服务器获得 NAS 客户端上的 TGT。现在,您可以继续并完成在 aixdce3.in.ibm.com 上配置 NFS V4 服务器所需的设置。从 aixdce3.in.ibm.com 导出一个本地目录,并尝试从本地挂载它。
接下来,设置带 NAS 客户端(配置为使用 DCE 服务器作为 KDC)的 NFS V4。
设置 NFS 服务器
- 输入下面的内容,以检查 NFS V4 文件集是否存在:
# lslpp -l | grep nfs
bos.net.nfs.client 5.3.0.50 COMMITTED Network File System Client
bos.net.nfs.client 5.3.0.50 COMMITTED Network File System Client
|
- 输入下面的命令,以检查基础操作系统运行时版本。
# lslpp -Lqc bos.rte
bos:bos.rte:5.3.0.50: : :C: :Base Operating System Runtime: : : : : : :1:0:
|
- 检查 AIX 的版本:
#cat /usr/lpp/bos/aix_release.level
5.3.0.0
|
- 检查加密库是否存在。这个文件集是使用 Kerberos 配置 NFS V4 所必须的:
#lslpp -l | grep modcrypt
modcrypt.base.includes 5.3.0.75 COMMITTED Cryptographic Library Include
modcrypt.base.lib 5.3.0.75 COMMITTED Cryptographic Library
(libmodcrypt.a)
|
- 进行检查,以确保 NFS 组的所有子系统都处于运行状态:
#lssrc -g nfs
Subsystem Group PID Status
biod nfs 9390 active
nfsd nfs 15854 active
rpc.mountd nfs 10928 active
nfsrgyd nfs 12254 active
gssd nfs 18170 active
rpc.lockd nfs 18770 active
rpc.statd nfs 10352 active
|
设置 NFS 域
- 检查 NFS 域的当前设置:
# chnfsdom
Currnet local domain: N/A
|
- 将其改为所需的域名:
# chnfsdom in.ibm.com
Currnet local domain: in.ibm.com
|
所有客户端上的域名都应该是相同的。
在充当 KDC 服务器的 DCE 服务器上创建 NFS 服务器主体
- 在 aixdce17.in.ibm.com(其中配置了 DCE 服务器)上创建 NFS 服务器主体。
- 获得 cell_admin 凭据。
#dce_login cell_admin -test-
|
- 创建 NFS 服务器主体:
#dcecp>user create nfs/aixdce3.in.ibm.com -password nfstest -org none -group none
-mypwd -test-
|
- 获得缺省的 keytab 文件:
#dcecp> keytab cat
/.../migrate_test/hosts/aixdce17.in.ibm.com/config/keytab/self
|
- 将 NFS 主体添加到 aixdce17.in.ibm.com 的 keytab 文件中。
#dcecp>keytab add /.../migrate_test/hosts/aixdce17.in.ibm.com/config/keytab/self
-member nfs/aixdce3.in.ibm.com -key nfstest
|
这个 keytab 文件(即 v5srvtab)位于 /opt/dcelocal/krb5 目录中。
- 输入下面的命令,以检查是否已经在 keytab 文件中添加了这个 NFS 主体:
#dcecp> keytab list /.../migrate_test/hosts/aixdce17.in.ibm.com/config/keytab/self
/.../migrate_test/hosts/aixdce17.in.ibm.com/self
/.../migrate_test/host/aixdce17.in.ibm.com
/.../migrate_test/host/aixdce17.in.ibm.com
/.../migrate_test/ftp/aixdce17.in.ibm.com
/.../migrate_test/ftp/aixdce17.in.ibm.com
/.../migrate_test/hosts/aixdce17.in.ibm.com/cds-server
/.../migrate_test/hosts/aixdce17.in.ibm.com/cds-server
/.../migrate_test/hosts/aixdce17.in.ibm.com/self
/.../migrate_test/nfs/aixdce3.in.ibm.com
|
- 将这个文件复制到 NAS 客户端的 /etc/krb5,并将其重命名为 krb5.keytab。现在,NAS 客户端 (aixdce3.in.ibm.com) 上的 keytab 文件与 DCE 服务器 (aixdce17.in.ibm.com) 上的 keytab 文件是相同的。
要验证 NAS 客户端上是否包含正确的 keytab 文件,可以输入下面的内容:
# /usr/krb5/sbin/ktutil
ktutil: read_kt /etc/krb5/krb5.keytab
ktutil: l
slot KVNO Principal
------ ------ ------------------------------------------------------
1 1 hosts/aixdce17.in.ibm.com/self@migrate_test
2 1 host/aixdce17.in.ibm.com@migrate_test
3 2 host/aixdce17.in.ibm.com@migrate_test
4 1 ftp/aixdce17.in.ibm.com@migrate_test
5 2 ftp/aixdce17.in.ibm.com@migrate_test
6 1 hosts/aixdce17.in.ibm.com/cds-server@migrate_test
7 2 hosts/aixdce17.in.ibm.com/cds-server@migrate_test
8 2 hosts/aixdce17.in.ibm.com/self@migrate_test
9 1 nfs/aixdce3.in.ibm.com@migrate_test
ktutil: q
|
- 要查看您使用 NAS 客户端 (aixdce3.in.ibm.com) 上的 keytab 文件所获得的凭据,可以输入下面的内容:
# kinit -kt /etc/krb5/krb5.keytab nfs/aixdce3.in.ibm.com
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: nfs/aixdce3.in.ibm.com@migrate_test
Valid starting Expires Service principal
08/14/07 06:51:58 08/15/07 06:51:56 krbtgt/migrate_test@migrate_test
|
在 NFS V4 服务器上,设置 gssd 守护进程
- 为了使得 NFS V4 能够使用 RPSEC-GSS,您必须在服务器的 keytab 文件和 NFS 服务器主体之间创建一个映射文件。可以使用 nfshostkey 命令来完成这项工作,如下所示:
# nfshostkey -p nfs/aixdce3.in.ibm.com -f /etc/krb5/krb5.keytab
# nfshostkey -l
nfs/aixdce3.in.ibm.com
/etc/krb5/krb5.keytab
|
- 使用
chnfsrtd 命令来建立映射: # chnfsrtd -a migrate_test in.ibm.com
|
- 要将目录导出到 NFS 服务器 (aixdce3.in.ibm.com) 上的 NFS V4,需要编辑文件 /etc/exports。如果该文件不存在,那么创建该文件以及需要导出的目录。
#vi /etc/exports
/umesh -vers=4,sec=krb5
:wq
# cat /etc/exports
/umesh -vers=4,sec=krb5
#exportfs -va
|
- 重新启动 nfs 组守护进程。
#stopsrc -g nfs; startsrc -g nfs
|
- 获得 NFS 服务器主体的凭据,并将导出的文件系统挂载到 /mnt/nfstest。
#kinit -kt /v5srvtab nfs/aixdce3.in.ibm.com
#klist
#mount -o vers=4,sec=krb5 aixdce3.in.ibm.com:/umesh /mnt/nfstest
|
- 转到挂载该文件系统的路径,并检查相关的凭据。您应该接收到 NFS 主体的服务票据。
#cd /mnt/nfstest
# ls -l
total 40
-rw-r--r-- 1 root sys 279 Dec 06 2006 C539INA.upd
drwxrwx--- 2 root system 512 Dec 06 2006 lost+found
drwxr-sr-x 2 root sys 2048 Dec 13 2006 ptf11
drwxr-sr-x 6 root sys 512 Dec 06 2006 rational
drwxr-sr-x 3 root sys 512 Mar 11 22:42 svt
# klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: nfs/aixdce3.in.ibm.com@migrate_test
Valid starting Expires Service principal
08/14/07 06:51:58 08/15/07 06:51:56 krbtgt/migrate_test@migrate_test
08/14/07 07:17:56 08/15/07 06:51:56 nfs/aixdce3.in.ibm.com@migrate_test
|
 |
|
设置 DFS 和 NFS 客户端
将导出的文件系统挂载到 NFS V4 客户端计算机,其中 DCE 客户端 (aixdce25.in.ibm.com) 配置到 DCE 服务器 (aixdce17.in.ibm.com)。其前提条件是,DCE 客户端上必须存在 NAS,但不应该对其进行配置。需要提供 DCE 客户端,同时对其进行配置。
- 检查在 aixdce25.in.ibm.com 上是否安装了 NAS。
# lslpp -l | grep krb5
krb5.client.rte 1.4.0.7 COMMITTED Network Authentication Service
krb5.client.samples 1.4.0.7 COMMITTED Network Authentication Service
krb5.doc.Ja_JP.html 1.4.0.7 COMMITTED Network Auth Service HTML
krb5.doc.Ja_JP.pdf 1.4.0.7 COMMITTED Network Auth Service PDF
krb5.doc.en_US.html 1.4.0.7 COMMITTED Network Auth Service HTML
krb5.doc.en_US.pdf 1.4.0.7 COMMITTED Network Auth Service PDF
krb5.doc.ko_KR.html 1.4.0.7 COMMITTED Network Auth Service HTML
krb5.doc.ko_KR.pdf 1.4.0.7 COMMITTED Network Auth Service PDF
krb5.doc.zh_CN.html 1.4.0.7 COMMITTED Network Auth Service HTML
krb5.doc.zh_CN.pdf 1.4.0.7 COMMITTED Network Auth Service PDF
krb5.lic 1.4.0.7 COMMITTED Network Authentication Service
krb5.msg.en_US.client.rte 1.4.0.7 COMMITTED Network Auth Service Client
krb5.server.rte 1.4.0.7 COMMITTED Network Authentication Service
krb5.toolkit.adt 1.4.0.7 COMMITTED Network Authentication Service
krb5.client.rte 1.4.0.7 COMMITTED Network Authentication Service
krb5.server.rte 1.4.0.7 COMMITTED Network Authentication Service
|
- 检查在 aixdce25.in.ibm.com 上是否安装了 DCE 客户端。
$lslpp -l | grep dce
csm.gui.dcem 1.4.1.10 COMMITTED Distributed Command Execution
dce.client.rte 3.2.0.10 COMMITTED DCE Client Services
dce.client.rte.admin 3.2.0.10 COMMITTED DCE Client Administrative
dce.client.rte.cds 3.2.0.9 COMMITTED DCE Client CDS Tools
dce.client.rte.config 3.2.0.6 COMMITTED DCE Client Configuration Tools
dce.client.rte.pthreads 3.2.0.0 COMMITTED DCE Threads Compatibility
dce.client.rte.rpc 3.2.0.4 COMMITTED DCE Client RPC Tools
dce.client.rte.security 3.2.0.9 COMMITTED DCE Client Security Tools
dce.client.rte.time 3.2.0.4 COMMITTED DCE Client Time Tools
dce.client.rte.zones 3.2.0.0 COMMITTED DCE Client Time Zones
dce.client.rte 3.2.0.10 COMMITTED DCE Client Services
dce.client.rte.admin 3.2.0.10 COMMITTED DCE Client Administrative
dce.client.rte.cds 3.2.0.9 COMMITTED DCE Client CDS Tools
dce.client.rte.config 3.2.0.6 COMMITTED DCE Client Configuration Tools
dce.client.rte.pthreads 3.2.0.0 COMMITTED DCE Threads Compatibility
dce.client.rte.rpc 3.2.0.4 COMMITTED DCE Client RPC Tools
dce.client.rte.security 3.2.0.9 COMMITTED DCE Client Security Tools
dce.client.rte.time 3.2.0.0 COMMITTED DCE Client Time Tools
dce.client.rte.zones 3.2.0.0 COMMITTED DCE Client Time Zones
|
- 为 DCE 服务器配置 DCE 客户端。
# config.dce -cell_name migrate_test -dce_hostname aixdce25.in.ibm.com -sec_master
aixdce17.in.ibm.com -cds_server aixdce17.in.ibm.com
|
- 检查 DCE 客户端上的配置。
#show.cfg
Gathering component state information...
Component Summary for Host: aixdce25.in.ibm.com
Component Configuration State Running State
Security client Configured Running
RPC Configured Running
Directory client Configured Running
DTS client Configured Running
The component summary is complete.
|
- 查看 /etc/krb5.conf 文件的内容。使用修改 NAS 客户端配置中提供的信息,以编辑这个文件。
# cat /etc/krb5.conf
[libdefaults]
default_realm = migrate_test
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
noaddresses = false
[realms]
migrate_test = {
kdc = aixdce17.in.ibm.com:88
default_domain = in.ibm.com
}
[domain_realm]
.in.ibm.com = migrate_test
aixdce17.in.ibm.com = migrate_test
|
- 检查 kinit 是否指向 NAS 二进制目录中的 kinit。
# which kinit
/usr/krb5/bin/kinit
|
- 进行检查,以确保创建了从 /etc/krb5.conf 到 /etc/krb5/krb5.conf 的链接。
# cd /etc/krb5
# ln -s /etc/krb5.conf krb5.conf
# ls -l
total 32
lrwxrwxrwx 1 root system 14 Aug 14 01:29 krb5.conf -> /etc/krb5.conf
|
- 将 keytab 文件从 DCE 服务器 (aixdce17.in.ibm.com) 复制到 DCE 客户端 (aixdce25.in.ibm.com) 的 /etc/krb5 中,并将其命名为
krb5.keytab。
- 使用 keytab 文件检查获得的凭据。
# kinit -kt /etc/krb5/krb5.keytab nfs/aixdce3.in.ibm.com
# klist
Ticket cache: FILE:/opt/dcelocal/var/security/creds/dcecred_80e8e000
Default principal: nfs/aixdce3.in.ibm.com@migrate_test
Valid starting Expires Service principal
08/14/07 08:14:12 08/15/07 08:14:12 krbtgt/migrate_test@migrate_test
|
- 使用 dce_login 命令,获得 DCE cell_admin 凭据,将它们复制到 /var/krb5/security/cred 目录,并将其命名为
krb5cc_0。 #dce_login cell_admin
Enter Password:
Password must be changed!
DCE LOGIN SUCCESSFUL
Warning: This account has been marked by an administrator, recommending that the
password be changed.
Do you wish to change now [y/n]? (y) n
# klist
Ticket cache: FILE:/opt/dcelocal/var/security/creds/dcecred_80f8aa00
Default principal: cell_admin@migrate_test
Valid starting Expires Service principal
08/14/07 08:18:52 08/14/07 18:18:52 krbtgt/migrate_test@migrate_test
08/14/07 08:18:52 08/14/07 18:18:52 dce-rgy@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 dce-ptgt@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 krbtgt/migrate_test@migrate_test
for client dce-ptgt@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 dce-rgy@migrate_test
for client dce-ptgt@migrate_test
#
# cp /opt/dcelocal/var/security/creds/dcecred_80f8aa00 /var/krb5/security/creds/krb5cc_0
|
- 将由 aixdce3.in.ibm.com 导出的 NFS V4 导出目录挂载到 aixdce25.in.ibm.com。
# mount -overs=4,sec=krb5 aixdce3.in.ibm.com:/umesh /home/nfstest
# pwd
/home
# cd nfstest
# ls -l
total 40
-rw-r--r-- 1 root sys 279 Dec 06 2006 C539INA.upd
drwxrwx--- 2 root system 512 Dec 06 2006 lost+found
drwxr-sr-x 2 root sys 2048 Dec 13 2006 ptf11
drwxr-sr-x 6 root sys 512 Dec 06 2006 rational
drwxr-sr-x 3 root sys 512 Mar 11 22:42 svt
# klist
Ticket cache: FILE:/opt/dcelocal/var/security/creds/dcecred_80f8aa00
Default principal: cell_admin@migrate_test
Valid starting Expires Service principal
08/14/07 08:18:52 08/14/07 18:18:52 krbtgt/migrate_test@migrate_test
08/14/07 08:18:52 08/14/07 18:18:52 dce-rgy@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 dce-ptgt@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 krbtgt/migrate_test@migrate_test
for client dce-ptgt@migrate_test
08/14/07 08:18:53 08/14/07 10:18:53 dce-rgy@migrate_test
for client dce-ptgt@migrate_test
|
|
|
结束语
在本文中,您了解了如何使用 DCE KDC 服务作为 NAS 客户端的 Kerberos 服务器。本文为使用 DCE 和 DFS 设置,以及具有单个 KDC(即 DCE KDC)的 NFS V4 提供了帮助。
参考资料 学习
获得产品和技术
-
IBM 试用软件:从 developerWorks 可直接下载这些试用软件,您可以利用它们开发您的下一个项目。
讨论
作者简介 | 
| | Umesh Prabhakar Gaikwad 是 IBM India Software Labs 的软件工程师。在过去三年里,他一直为 IBM 工作,致力于研究 AIX、Windows 和 Solaris 中的分布式计算环境 (DCE)。目前他参与了 IBM DCE 产品 Level 3 的活动。Umesh 拥有印度 Pune 大学计算机科学与工程学士学位。您可以通过 ugaikwad@in.ibm.com 与他联系。 |
| 
| | Sachin Punadikar 是 IBM India Software Lab 的一名软件工程师。过去的六年里,他一直在 IBM 工作。他在文件系统 (DFS)、事务处理监视器 (TXSeries Encina)和安全产品(如 Network Authentication Service (NAS))方面具有丰富的经验。他目前正从事 IBM NAS 的新功能开发,并为其提供产品支持。Sachin 拥有位于印度 Kolhapur 的 Shivaji 大学的计算机科学和工程学学士学位。 |
对本文的评价
| 
