关于 IBM Network Authentication Service 和 AIX 相关技术的资源

在 AIX 系统上部署安全解决方案的开发人员和管理员必须具备的页面

本文将为您解答有关 IBM® AIX® Network Authentication Service 及相关技术的疑难点。本文为开发人员和管理人员提供了一个 developerWorks 文章列表,涉及的内容包括配置、管理、互操作性、Kerberized 文件系统(NFS V4)和各种基于 IBM NAS for AIX 的 Kerberized 登录模块。为了方便阅读和使用,本文划分为若干个相应部分。

Sandeep Ramesh Patil , 高级软件工程师, EMC

Sandeep Ramesh Patil 是 IBM India Software Labs 的高级软件工程师。在过去七年里,他一直为 IBM 工作,主要研究包括 DCE、SARPC 在内的分布式技术,以及安全产品,例如 IBM Network Authentication Services (IBM Kerberos)。目前,他正在为 IBM Network Authentication Service 开发新的特性并实现安全相关的 RFC 及其产品支持。Sandeep 拥有印度 Pune 大学的计算机科学与工程学学士学位。



2009 年 2 月 26 日

关于 Kerberos

Kerberos 初级读物

这篇 developerWorks 文章提供非常基础的 Kerberos 知识,这是一个很好的出发点。关于 Kerberos 协议的其他内容和最新信息,请访问麻省理工学院的 Kerberos 站点:The Network Authentication Protocol(参见 参考资料)。


关于 IBM Network Authentication Service for AIX 的文章

IBM Network Authentication Service for AIX 是 IBM 提供的 Kerberos,附带在 AIX Expansion Pack CD 中并可以通过 IBM AIX Web Download Pack 获得(参见 参考资料)。本小节列出了许多文章,介绍各种服务器特性、配置方法、策略管理、备份管理和 IBM Network Authentication Service for AIX 管理等。

有关服务器端配置的文章

Set up Kerberos Version 5 KDC to use AES encryption

了解如何设置 Key Distribution Center (KDC) 以使用 Advanced Encryption Standard (AES) 进行加密,从而确保票据(ticket)的安全性。开发人员在系统中使用 KDC 控制是否允许用户访问某种服务。KDC 使用票据来标记是否同意访问某个特殊服务,或对用户和服务提供者进行身份验证。

使用 AIX 上的 LDAP 发现 IBM Network Authentication Service KDC 和管理服务器

在 AIX 上使用 Lightweight Directory Access Protocol (LDAP) 有效地配置 IBM NAS,以 Kerberos 环境中获得最大程度的可靠性和可伸缩性。这篇文章介绍了各种不同方法帮助您设置动态的、一致的 Kerberos 环境。

IBM Network Authentication Service for AIX Version 5.3 中的 Kerberos 策略管理

使用 IBM NAS for AIX 了解 Kerberos 的密码策略管理,并了解有关 IBM NAS 策略的所有内容。同时了解所有命令、示例和场景,帮助您发挥 kerberos 密码策略的最大威力。

在 IBM Network Authentication Service for AIX 中增强密码强度

在 Kerberos 环境中,保护主要管理人员的密码对保证系统安全至关重要。了解 Kerberos 管理人员如何利用 IBM NAS for AIX 提供的密码保护和密码强度增强特性。

配置 IBM NAS version 1.4.0.7 for AIX 使用非默认加密类型

本文逐项解释了如何在 Kerberos 设置(IBM NAS)中启用和利用非默认的加密类型,比如 “aes128-cts”。同时解释这个过程的每个步骤的原理。这些解释可以帮助 Kerberos 管理人员在其 Kerberos 设置中利用其他非默认的加密类型。

IBM Network Authentication Service KDC 配置,第 1 部分: 配置和管理 AIX 上 IBM Network Authentication Service 中的从 KDC

做一名专家级管理员,实现可靠的、具有高可用性的 Kerberos 环境,在 IBM AIX 和其他许多客户机上使用多个 Kerberos 主-从 Key Distribution Centers(KDC)。这篇文章是系列文章的第 1 部分,介绍了如何配置和管理基本的主-从 KDC 设置。第 2 部分将介绍如何将从 KDC 提升为主 KDC。第 3 部分介绍如何将具有 LDAP 的主-从 KDC 配置为存储 Kerberos 数据的后端。

IBM Network Authentication Service KDC 配置,第 2 部分: 把从 KDC 升级为主 KDC

做一名专家级管理员,实现可靠的、具有高可用性的 Kerberos 环境,在 IBM AIX 和其他许多客户机上使用多个 Kerberos 主-从 Key Distribution Centers(KDC)。这是本系列的第 2 部分,介绍了如何将从 KDC 提升为主 KDC。第 1 部分介绍了如何配置和管理基本的主-从 KDC 设置,第 3 部分将介绍如何将具有 LDAP 的主-从 KDC 配置为存储 Kerberos 数据的后端。

其他文章

AIX 安全命令

安全性是 IBM AIX 操作系统的一个重要方面。阅读这个有关 AIX 安全命令的快速参考读物,了解更多内容。

IBM Network Authentication Service for AIX 的备份和恢复管理

了解如何备份重要的 Kerberos 数据,这是业务连续性计划和其他备份流程的组成部分。在 Kerberos 生产环境中,定期适当地备份 Kerberos 数据对于为用户提供 24x7 可靠性和持续支持非常重要。本文向 Kerberos 管理员介绍了应当对哪些数据进行备份。

Configuring AIX 5L for Kerberos Based Authentication Using Network Authentication Service

Kerberos 是来自 MIT 的第三方身份验证系统,是 Athena 项目的一部分。本文档介绍了如何将 Kerberos 作为一种用于 AIX 的备选身份验证机制。可加载的 AIX 识别和身份验证框架都可以使用 Kerberos。Kerberos 技术结合 LDAP 用户/组管理为 AIX 提供一种集中化的、可伸缩的身份验证和识别机制。

AIX 5L LDAP 用户管理

了解 AIX 5L 操作系统 V5.3 TL5 更新中与 LDAP 相关的增强。其中一些增强包括 Active Directory 支持、多个基本专有名称(DN)的支持和扩展的基本 DN 格式。

Is your AIX environment secure?

在本文中,作者讨论了 UNIX® 环境中常见的安全性问题,包括 AIX。他特别介绍了一些关键文件和维护完整性的步骤。此外,还介绍了大量安全性工具,可以用来诊断 AIX 系统并识别潜在的安全隐患。本文介绍的方法适用于所有 AIX 版本,并且能够帮助 AIX 系统管理员和 AIX 程序员保护他们的系统。


关于使用 IBM NAS for AIX 的 Kerberized 应用程序的文章

本节所列文章向读者展示了在 AIX 上的 kerberized 文件系统部署、在 kerberized 文件系统之间迁移、跨不同操作系统启用登录模块的 AIX kerberized 身份验证,以及使用 kerberized telnet、SSH 等安全登录应用程序。

文件系统

Kerberos authentication for AIX Version 5.3 Network File System Version 4

了解如何在编写基于 Kerberos 的定制身份验证应用程序时使用应用程序编程接口(API)。即将推出的企业文件系统 Network File System Version 4 (NFS V4) 使用 Kerberos 安全性机制解决隐私、身份验证和完整性需求。在本文中,您将了解 AIX NFS V4 支持的各种 Kerberos 凭证缓存命名格式,它们专用于身份验证。您还将了解各种获得 Kerberos 凭证的方法。

在 Kerberos 跨领域(AIX 和 Windwos 系统)的基础上配置 AIX NFS Version 4

了解如何针对 AIX Network File System (NFS) Version 4 在 IBM NAS 和 Microsoft Active Directory 之间配置跨域设置。

同时访问 DFS 和 NFS V4 目录

本文为准备从 DCE 或 DFS 迁移到 Kerberos/NFS V4 的 DCE 或 DFS 用户提供指导。在迁移期间,这些用户需要通过身份验证并获得使用 DFS 和 NFS V4 目录的授权。这篇文章解答了一些基本的问题,例如 “可以将 DCE 身份验证服务器作为一个 Kerberos 服务器用于具有 Kerberos 客户机的 NFS V4 吗?”

Network File System Version 4 security: Kerberos and LIPKEY mechanisms

通过 Network File System (NFS) Version 4 的增强的安全特性利用公共密匙技术。在本文中,将查看 NFS Version 4 内置安全模式,以及如何在 LIPKEY 安全机制中使用现有 Kerberos 身份验证数据库。您将了解如何开始从 Kerberos 迁移或扩展到 LIPKEY 安全机制。

IBM NFS/DFS Authentication Gateway: Commands and APIs to bridge to NFS Version 4

了解如何在迁移期间使用 IBM NFS/DFS Authentication Gateway 命令和应用程序编程接口(API)设计应用程序。随着大型企业的存储需求不断增加,并且 NFS 实现提供了更多特性,企业有必要迁移到 NFS Version 4 中。另一篇相关的文章 “IBM NFS/DFS Authentication Gateway: A migration bridge to NFS Version 4” 介绍了这一内容。

IBM NFS/ DFS Authentication Gateway (A migration bridge to NFS Version 4)

利用 Network File System Version 4 (NFS Version 4) 现有的新特性。随着大型企业的存储需求不断增加,并且 NFS 实现提供了更多特性,企业有必要迁移到 NFS Version 4 中。在本文中,我们讨论了在 AIX 和 Linux 上从 IBM Distributed Computing Environment (DCE)/Distributed File System (DFS) 迁移到 NFS Version 4 的需求和各种策略。

登录模块

Windows 终端服务的 Kerberos 化验证

理解如何配置 Microsoft Windows 2003 Server 以使用 AIX 5.3 系统中托管的 IBM Network Authentication Service (IBM NAS) Key Distribution Center (KDC) 对 Terminal Service 用户进行身份验证。这种设置不仅可以对 Terminal Service 用户进行 Kerberized 身份验证,还允许用户在 AIX 和 Windows Server 系统之间使用惟一的用户 ID 和密码。它允许应用程序开发人员在跨多个系统的 Kerberized 应用程序中利用 IBM NAS 和 Windows 之间的 Kerberos 互操作性。

利用 AIX V5.3 中使用 OpenSSH 保护通信安全

了解如何在 AIX Version 5.3 机器上配置使用 Microsoft Active Directory Server 作为 Key Distribution Center (KDC) 的 Kerberized Open Secure Shell (OpenSSH)。OpenSSH 将对数据流进行加密(包括密码)以避免窃听、转移连接或窃取数据。如果您在 AIX Version 5.3 系统中使用包含多种解决方案的混合环境,这篇文章非常值得阅读。

使用 IBM AIX V5.3 在 Solaris 10 中实现安全的 Kerberos 化身份验证

设置 Kerberized 环境以使用 Solaris 10,并了解如何在 AIX Version 5.3 上配置 Key Distribution Center (KDC)。您还将通过一系列步骤在 Solaris 10 中配置一个 Kerberos 客户机,以使用 AIX Version 5.3 作为 KDC 验证用户的 Telnet、远程 shell (rsh) 和 Secure Shell (SSH)。在 AIX 上使用单一的 IBM Network Authentication Service (NAS) KDC 跨平台进行身份验证对混合环境非常有用。

在 AIX V6 上的 telnet、FTP 和 r 命令中配置和启用 Kerberos 身份验证

了解在 IBM AIX V6 上如何在日常网络服务中使用 Kerberos 身份验证票据,并了解 Kerberos 如何在网络服务登录时帮助解决密码问题。这是在 AIX 系统网络中实现单点登录(SSO)的另一种方法。

用 Kerberos 为 AIX 实现双因素身份验证

随着系统对安全性需求日益迫切,多因素身份验证成为网络安全的首选。由于 Kerberos 是最流行的网络身份验证机制之一,有必要了解如何通过 Keberos 协议设计多因素身份验证。学习如何通过 One Time Password (OTP) 和 GSS-API 实现这个目标。

Configuring AIX 5L for Kerberos Based Authentication Using Windows Kerberos Service

本文档介绍了如何通过 Windows 2000/2003 Server Kerberos Service 使用 Kerberos 作为 AIX 的备选身份验证机制。当在 AIX 安全系统中使用了 Kerberos 身份验证后,在执行 Kerberos 身份验证时不需要对 AIX 上的身份验证应用程序进行任何修改。通过利用可加载的 AIX 识别和身份验证模块,系统将引导身份验证请求使用 Kerberos 代替标准的 UNIX 身份验证。


结束语

本文为您列举了和 IBM Network Authentication Service for AIX 相关的资源。这些资源覆盖了在 AIX 上使用 Kerberos 的管理员和开发者需要了解的内容,十分值得您收藏为书签。

参考资料

学习

获得产品和技术

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=372992
ArticleTitle=关于 IBM Network Authentication Service 和 AIX 相关技术的资源
publish-date=02262009