安全远程命令概述

在线编辑

以下信息提供了有关安全远程命令的详细信息。

注意:
  1. 从“分布式计算环境”(DCE)V2.2 开始,DCE 安全服务器可以返回 Kerberos V5 凭单。
  2. 所有安全远程命令 (rcmds) 都使用扩展包 DVD 上提供的 IBM® 网络认证服务 (NAS) 提供的 Kerberos 版本 5 库。 必须安装 krb5.client.rte 文件集,此文件集也是在扩展包 DVD 上提供的。
  3. 如果要使用 DVD 介质迁移 AIX® 操作系统并且已安装 Kerberos ,那么安装脚本会提示您从扩展包 DVD 安装 krb5.client.rte
  4. 如果要使用 NIM 资源迁移 AIX 操作系统,并且已安装 Kerberos ,请将 krb5 添加到 lpp_source 目录。

安全远程命令 (rcmds) 为 rloginrcprshtelnetftp。 这些命令统称为标准 AIX 认证方法。 提供的额外方法为 Kerberos。

当使用 Kerberos V5 认证方法时,客户机从 DCE 安全服务器或 Kerberos 服务器获取 Kerberos V5 凭单。 该凭单是用户当前 DCE 或本地凭证(对于所要连接的 TCP/IP 服务器是加密的)的一部分。 TCP/IP 服务器上的守护程序对此凭单解密。 此操作允许 TCP/IP 服务器完全标识用户。 如果允许凭单中所述的 DCE 或本地主体访问操作系统用户帐户,那么连接开始。 安全 rcmds 支持 Kerberos V5 和 DCE 的 Kerberos 客户机和服务器。

除了认证客户机,Kerberos V5 将当前用户凭证转发到 TCP/IP 服务器。 如果凭证被标记为可转发,那么客户机会将它们作为 Kerberos 授予凭单的凭单发送至服务器。 在 TCP/IP 服务器端,如果用户正在与 DCE 安全服务器通信,那么守护程序会使用 k5dcecreds 命令将授予凭单的凭单升级为完全 DCE 凭证。

ftp 命令使用与其他安全 rcmds 不同的认证方法。 它使用 GSSAPI 安全机制来通过 ftp 命令与 ftpd 守护程序之间的认证。 使用 clearsafeprivate 子命令,ftp 客户机支持数据加密。

在操作系统客户机和服务器之间,ftp 命令允许加密数据连接的多字节传输。 标准仅定义了加密数据连接的单字节传输。 当连接到第三方机器并使用数据加密时,ftp 命令遵循单字节传输限制。