在AIX TELNET的設置中。我們通常不是單獨講解和配置的。那么通過對AIX系統的使用，需要配置的內容很多，下面我們就主要看一下。學習在IBM AIX V6 上的日常網絡服務中使用 Kerberos 身份驗證票證，并了解 Kerberos 如何幫助避免登錄網絡服務時使用密碼的麻煩。這是在 AIX 系統網絡中實現單點登錄 (SSO) 的又一種方法。

引言

AIX中的網絡應用程序（例如，telnet、FTP 和 rlogin、rsh、rcp 等 r 命令）本身支持 Kerberos 身份驗證。管理員需要完成的所有工作包括安裝和配置 Kerberos，以及配置 AIX 系統以使用該 Kerberos 設置進行身份驗證。Kerberos 身份驗證表示一旦您擁有有效的 Kerberos 票證（通過手動 /usr/krb5/bin/kinit 或集成登錄獲得），網絡應用程序可以使用該票證作為您的身份驗證令牌，并且一旦成功通過身份驗證，您不需要輸入密碼就可以獲得訪問權限。

基本配置

為了啟用 Kerberos 身份驗證，需要在 Kerberos 前端以及 AIX 系統上設置一些通用基本配置。讓我們看一下這些Aix Telnet配置。

Kerberos 配置

讓一臺服務器計算機作為 Kerberos 主密鑰分發中心（Key Distribution Center，KDC）這臺計算機將負責所有與 Kerberos 相關的任務，例如生成票證、對用戶進行身份驗證，等等。管理員需要在這臺計算機上安裝和配置 IBM Network attached storage (NAS)（優選使用 1.4.0.7 或更高版本）以作為主 KDC。

網絡中的所有其他計算機（您將在這些計算機上使用 telnet、FTP 或 r 命令進行登錄）安裝和配置 IBM NAS，作為主 KDC 的客戶端。

telnet/FTP 守護進程將在這些計算機上運行，您將從客戶端連接到這臺計算機上。在這些計算機上也安裝和配置 IBM NAS，作為主 KDC 的客戶端。

有關 IBM NAS 服務器和客戶端安裝和配置的完整說明，請參考 AIX Version 5.3 Expansion Pack CD 中附帶的 IBM NAS Version 1.4 Administration Guide。

對于本文中的示例，我參考了示例 Kerberos 環境。圖 1 顯示了該環境和邏輯信息流。

圖 1：顯示 Kerberized telnet 操作的示例

本文通篇使用了下列定義：

Kerberos 管理員名稱：admin/admin

Kerberos 領域名稱：ISL.IN.IBM.COM

IBM NAS 1.4.0.7 主 KDC：主機名：land.in.ibm.com 端口： 88

操作系統：AIX 5.3

IBM NAS 1.4.0.7 管理服務器：主機名：land.in.ibm.com 端口： 749

操作系統：AIX 5.3

IBM NAS 1.4.0.7 客戶端：主機名：fakir.in.ibm.com

操作系統：AIX 6.1

運行 telnet服務的計算機：主機名：fsaix005.in.ibm.com 端口： 23

操作系統：AIX 5.3

運行 FTP 服務的計算機：主機名：fsaix005.in.ibm.com 端口： 21

操作系統：AIX 5.3

檢查和同步所有計算機之間的時間差；誤差不應超過 5 分鐘。若要檢查 Kerberos 配置的正確性，請使用 '/usr/krb5/bin/kinit admin/admin'，后跟 '/usr/krb5/bin/klist' 并查看是否能夠獲得 Kerberos 票證，然后使用 '/usr/krb5/sbin/kadmin -p admin/admin' 檢查所有事項（時間差以及更多項目）是否正常。

Aix Telnet設置中的AIX身份驗證配置

為了確保所有網絡應用程序在進行基于密碼的標準身份驗證之前嘗試 Kerberos 身份驗證，管理員需要更改所有 AIX 計算機上的身份驗證方法***項。

'/usr/bin/lsauthent' 命令顯示當前身份驗證模式***項。

bash-2.05b# /usr/bin/lsauthent  
Standard Aix 

若要更改身份驗證模式***項，請使用 '/usr/bin/chauthent' 命令。

bash-2.05b# /usr/bin/chauthent -k5 -std 

現在，'/usr/bin/lsauthent' 應顯示類似下面的內容：

bash-2.05b# /usr/bin/lsauthent  
Kerberos 5  
Standard Aix 

在Aix Telnet設置中，請務必保留基于密碼的標準身份驗證方法（上面的 –std）作為后備身份驗證方法，否則如果無法啟用正確的 Kerberos 登錄，您將無法登錄到系統。