使用 Directory Server 进行 Kerberos 认证

在线编辑

Directory Server 允许您使用 Kerberos 认证。 Kerberos 是一种网络认证协议,它使用密钥密码术向客户机和服务器应用程序提供强认证。

启用 Kerberos 认证,必须配置网络认证服务。

目录服务器的 Kerberos 支持提供对 GSSAPI SASL 机制的支持。 这使 Directory Server 和 Windows 2000 LDAP 客户机都能够对 Directory Server 使用 Kerberos 认证。

服务器使用的 Kerberos 主体名称 具有以下格式:

service-name/host-name@realm

service-name 是 ldap (ldap 必须为小写) , host-name 是系统的标准 TCP/IP 名称, realm 是系统 Kerberos 配置中指定的缺省域。

例如,对于 acme.com TCP/IP 域中名为 my-as400 的系统,缺省 Kerberos 域为 ACME.COM, LDAP 服务器 Kerberos 主体名称将为 ldap/my-as400.acme.com@ACME.COM。 缺省 Kerberos 域是在 Kerberos 配置文件 (缺省情况下为 /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf) 中使用 default_realm 伪指令 (default_realm = ACME.COM)。 如果尚未配置缺省域,那么无法将目录服务器配置为使用 Kerberos 认证。

使用 Kerberos 认证时, Directory Server 会将专有名称 (DN) 与确定对目录数据的访问权的连接相关联。 您可以选择使服务器 DN 与下列其中一种方法相关联:

  • 服务器可以根据 Kerberos 标识创建 DN。 选择此选项时,格式为 principal@realm 的 Kerberos 身份将生成格式为 ibm-kn=principal@realm. 的 DN。 ibm-kn= 等同于 ibm-kerberosName=。
  • 服务器可以在目录中搜索包含 Kerberos 主体和域的条目的专有名称 (DN)。 选择此选项时,服务器将在目录中搜索指定此 Kerberos 身份的条目。

您必须具有包含 LDAP 服务主体的密钥的密钥表 (密钥表) 文件。