AIX 6.1 上最新的 IBM Network Authentication Service

上个新台阶

IBM® Network Authentication Service Version 1.4.0.8 已经通过 AIX® 6.1 Expansion Pack CD 发布了,还可以通过 IBM AIX Web Download Pack Program 获得。这个新版本包含新特性和重要的补丁,AIX Kerberos 管理员应该考虑升级到这个版本。本文介绍这个版本中的特性,以及这些特性如何帮助改进 AIX 上的 Kerberos 基础结构和增强安全性。这个新版本让管理员可以 “上个新台阶”,而不仅仅是升级。

Sandeep Ramesh Patil , 高级软件工程师, EMC

SandeepRamesh Patil 的照片Sandeep Ramesh Patil 是 IBM India Software Labs 的高级软件工程师。在过去七年里,他一直为 IBM 工作,主要研究包括 DCE、SARPC 在内的分布式技术,以及安全产品,例如 IBM Network Authentication Services (IBM Kerberos)。目前,他正在为 IBM Network Authentication Service 开发新的特性并实现安全相关的 RFC 及其产品支持。Sandeep 拥有印度 Pune 大学的计算机科学与工程学学士学位。


developerWorks 大师作者

2009 年 10 月 26 日

简介

IBM Network Authentication Service (IBM NAS) for AIX 为 AIX 提供 Kerberos 支持,可以从 Expansion Pack CD 或 IBM AIX Web Download Pack Programs 获得它(见 参考资料)。IBM NAS for AIX 用于开发使用 Kerberos 的应用程序、解决方案和系统。通过使用 IBM NAS,可以大大提高许多 AIX 组件和实用程序的安全性,比如 NFS V4、telnet、ssh、rlogin 和集成的登录,因此它是与安全性相关的重要操作系统组件之一。

IBM NAS for AIX 最近发布了一个更新 Version 1.4.0.8,其中提供了对管理员和相关人员有益的特性。本文介绍与这个新版本相关联的每个主要特性和改进,帮助您更好地理解它们,为通过使用 IBM NAS 的 Kerberos 保卫的 AIX 系统计划升级。

为 AIX 上的 KDC 提供 TCP-IP 协议支持

对于可靠的网络服务,许多管理员喜欢在基础结构中部署 TCP-IP 协议。从 IBM NAS 1.4.0.8 开始,AIX 上的 KDC (Key Distribution Center) 已经扩展了,可以满足 TCP 协议支持需求。管理员现在可以让(Windows®、Linux®、AIX 等操作系统上的)客户机使用 TCP 协议向 AIX KDC 发出身份验证请求并交换 Kerberos 令牌。因为 AIX KDC 现在能够支持两种通信协议,升级到 IBM NAS 1.4.0.8 或更高版本会提高服务的可用性,这是升级的好理由。

要想让 AIX 上的 IBM NAS Version 1.4.0.8(或更高版本)KDC 可以使用 TCP,管理员需要完成以下两个简单的任务:

  • 在运行 IBM NAS 服务器的 AIX 系统上,编辑 kdc.conf 文件,在 [kdcdefaults] 小节下面添加以下代码(假设希望通过端口 88 运行它):kdc_tcp_ports = 88
  • 重新启动 IBM NAS 服务器:stop.krb5;start.krb5

建议在公告的系统停机时间执行这一修改,除非正在运行副本服务器,可以应对在升级期间服务器不可用的问题。


对 Kerberos 身份验证票据生命期的细粒度控制

在包含使用 Kerberos 的应用程序的真实场景中,管理员很可能希望对 Kerberos 票据的生命期实施基于机器的细粒度控制。例如,当最终用户使用某一组机器访问 AIX NFS V4 空间时,AIX NFS V4 管理员可能需要为他们提供生命期非常短的凭证;但是,当使用另一组机器访问 AIX NFS V4 空间时,可以提供生命期比较灵活的凭证(因为这两组服务器可能属于不同的服务器类型)。

为了满足这种需求,IBM NAS 1.4.0.8 引入了一个新关系 ticket_lifetime,它是 IBM NAS 客户机配置文件的组成部分,位于 /etc/krb5/krb5.conf 中的 [libdefaults] 小节下面。这个关系以时间作为值,必须在管理员希望实施票据生命期控制的 AIX 客户机机器的 /etc/krb5/krb5.conf 文件中指定它。它有助于管理员限制向这台 AIX 客户机机器的用户颁发的 Kerberos 票据的生命期。

# cat /etc/krb5/krb5.conf 
...
[libdefaults]
    ticket_lifetime = 4h5m
...

当在 AIX 客户机机器上设置它时,可以确保从这个机器获得的所有 Kerberos 票据的生命期都等于 4 小时 5 分钟。图 1 给出一个示例场景:在这个场景中,当使用 Machine A 进行身份验证时,Kerberos 主体 Sandeep@Relam 获得有效期为 4 小时 5 分钟的票据;而在使用 Machine B 进行身份验证时,同一个用户会获得有效期为 24 小时的票据。这只是许多可能的配置方案之一。因此,提供细粒度控制可以增强 Kerberos 凭证的可管理性,这是另一个升级理由。

图 1. IBM NAS Version 1.4.0.8 for AIX 或更高版本的 ticket_lifetime 关系的演示
IBM NAS Version 1.4.0.8 for AIX 或更高版本的 ticket_lifetime 关系的演示

基于凭证的命令的后运行(post run)脚本

IBM NAS 1.4.0.8 的一个新特性允许管理员在成功地执行基于 IBM NAS 凭证的命令(比如 kinit 和 kdestroy)时,通知使用 Kerberos 的其他相关应用程序。初看上去,管理员或开发人员可能体会不到它的价值。但是,通过使用这个特性,管理员和 Kerberos 应用程序开发人员可以有效地同步命令所控制的 Kerberos 凭证状态和 Kerberos 应用程序缓冲区中保存的凭证状态。在 AIX developerWorks 博客(2009 年 2 月 20 日的博客文章)上可以找到对这个特性及其用法的详细解释。


保护 IBM NAS-LDAP 设置中的 LDAP 绑定密码

IBM Network Authentication Service for AIX 服务器支持 LDAP 目录插件,可以用这个插件在 LDAP 中存储身份验证信息。如果客户要把 Kerberos 从 IBM DCE (Distributed Computing Environment) 等遗留系统迁移到 Kerberos,或者希望在 LDAP 中集中存储所有身份验证信息,使用这个插件就是首选方法。在 developerWorks 文章 “Configure IBM Network Authentication Service master KDC with an LDAP back-end server on AIX” 中可以找到使用 LDAP 的 IBM NAS 的详细信息(见 参考资料)。在这种设置中,AIX 上的 IBM NAS 服务器使用 /var/krb5/krb5kdc/.kdc_ldap_data 文件中的信息与 LDAP 服务器交互。LDAP 绑定密码信息存储在这个文件中。在 IBM NAS 1.4.0.8 之前,它以可读的格式存储。尽管这个文件由 ACL (Access Control List) 保护,只允许根用户访问,但是这对于安全性要求高的系统可能不够。因此,有必要让管理员能够对 LDAP 绑定密码进行加密以提高安全性,同时让 NAS 服务器守护进程仍然可以解释它。

为了满足这种需求,IBM NAS 1.4.0.8 增加了对加密的 LDAP 绑定密码的支持,ksetup 命令增加了 -c 标志(c 代表 “cipher”)。管理员可以使用这个标志对绑定密码进行加密并把密文放在 .kdc_ldap_data 配置文件中。这可以避免保存明文密码,同时又不妨碍可信的 NAS 服务器访问 LDAP 绑定密码。

ksetup 的用法如下:

ksetup -c (string_to_encrypt)
# ksetup -c "Password of Ldap Bind"
{DES}202FEBC2 875 C4F69F2B8F8935A76B28678241B6C904AC87BD7278BC0F1D456

IBM NAS 1.4.0.8 Readme 文档中提供了对这个命令用法的详细解释和示例,可以通过 IBM AIX Web Download Pack Programs 获得此文档(见 参考资料)。因此,如果您的 AIX Kerberos 基础结构使用 LDAP 插件并以明文格式存储绑定密码,现在应该考虑通过升级来保护它。


IBM Network Authentication Service 守护进程的循环日志

管理员肯定不希望服务器的重要分区耗尽空间。服务器有许多不断增长的日志和审计文件,需要管理它们,防止它们耗尽服务器上的重要空间。IBM NAS 服务器也有相关联的日志和审计文件(在 IBM developerWorks 文章 “IBM Network Authentication Service: Server-side logging and auditing” 中可以找到 IBM NAS 日志和审计文件的相关信息,见 参考资料)。IBM NAS 1.4.0.8 让管理员可以更好地管理这些日志文件,不但可以防止它们增长,还有助于制定备份计划。

IBM NAS 1.4.0.8 和更高版本在 /etc/krb5/krb5.conf 文件中引入了新的关系,它可以为服务器日志文件启用循环日志(默认情况下日志文件放在 /var/krb5/log 文件夹中)。新关系 “max_log_size” 和 “keep_old_logs” 出现在 IBM NAS AIX 服务器机器的 /etc/krb5/krb5.conf 文件中的 [logging] 小节下面。管理员可以使用 “max_log_size” 指定日志文件可以增长到的最大大小(以 MB 为单位)。“keep_old_logs” 指定希望保留的旧日志/审计文件的数量,超过这个数量之后旧文件会被清除(管理员可以把旧文件备份到其他持久化备份存储)。

例如:

# cat /etc/krb5/krb5.conf 
...
[logging]
max_log_size = 10
keep_old_logs = 5
...

在 IBM NAS AIX 服务器机器上设置时,这个示例把服务器的日志文件大小限制为 10MB,最多保留 5 个旧日志文件。可以在 IBM NAS 1.4.0.8 Readme 中找到关于这个特性的详细信息(比如相关联的默认值等),可以通过 IBM AIX Web Download Pack Programs 获得此文档(见 参考资料)。


结束语

本文讨论了 IBM NAS 1.4.0.8 version for AIX 提供的主要特性,以及它对基于 AIX 的现有解决方案和 Kerberos 产品可能产生的影响。AIX 管理员应该考虑升级到 IBM NAS 1.4.0.8 或更高版本。

参考资料

学习

获得产品和技术

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=439106
ArticleTitle=AIX 6.1 上最新的 IBM Network Authentication Service
publish-date=10262009