加载中…
个人资料
阳光下
阳光下
  • 博客等级:
  • 博客积分:0
  • 博客访问:12,482
  • 关注人气:0
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

使用Windows AD作为Kerberos KDC

(2012-01-18 20:27:29)
参考文档:
http://nfsworld.blogspot.com/2005/06/using-active-directory-as-your-kdc-for.html

使用Windows AD作为KDC替代Linux上的KDC。

配置Windows AD

1.添加kbrclient信息
在winad中(winad为Windows 2003的domain controller),将kbrclient(Linux服务器主机名)作为user添加到AD中。
使用Windows <wbr>AD作为Kerberos <wbr>KDC

此外,将nfsKrbclient也作为user添加到AD中。

2. 生成keytab文件
在winad上执行下面的命令,以生成UNIXkrbclient.keytab文件。
C:\Documents and Settings\Administrator>ktpass -princ nfs/krbclient.lab.example.sh.cn@LAB.EXAMPLE.SH.CN -mapuser nfsKrbclient -pass XXXXXXXX -out UNIXkrbclient.keytab
Targeting domain controller: winad.lab.example.sh.cn
Using legacy password setting method
Successfully mapped nfs/krbclient.lab.example.sh.cn to nfsKrbclient.
WARNING: pType and account type do not match. This might cause  problems.
Key created.
Output keytab to UNIXkrbclient.keytab:
Keytab version: 0x502
keysize 79 nfs/krbclient.lab.examplea.sh.cn@LAB.EXAMPLE.SH.CN ptype 0 (KRB5_NT_UNKNOWN) vno 3 etype 0x17 (RC4-HMAC) keylength 16 (0xb9e0cfceaf6d077970306a2fd88a7c0a)

使用winscp将UNIXkrbclient.keytab文件上传到kbrclient服务器的/etc目录,重命名为krb5.keytab。其内容可以通过在krbclient上运行klist -k krb5.keytab。

在winad上运行的ktpass命令还将创建nfsKrbclient的映射信息
使用Windows <wbr>AD作为Kerberos <wbr>KDC


配置存储


在存储上运行下面的命令进行配置。
fas3020b*> nfs setup
Enable Kerberos for NFS? yes
The filer supports these types of Kerberos Key Distribution Centers (KDCs):

        1 - UNIX KDC
        2 - Microsoft Active Directory KDC

Enter the type of your KDC (1-2):  2
Kerberos now enabled for NFS.
NFS setup complete.

此外,确保存储加入以winad为domain controller的AD。

配置kbrclient

1.配置/etc/krb5.conf文件
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = LAB.EXAMPLE.SH.CN
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 LAB.EXAMPLE.SH.CN= {
  kdc = winad.lab.example.sh.cn:88
  admin_server = winad.lab.example.sh.cn:749
  default_domain = lab.example.sh.cn
 }

[domain_realm]
 .lab.example.sh.cn = LAB.EXAMPLE.SH.CN
 lab.example.sh.cn = LAB.EXAMPLE.SH.CN

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

2.配置Authentication
在krbclient上,通过System->Administration->Authentication,可以设置使用Kerberos进行Authentication,这样就不需要手工运行kinit了。
对于KDCs和Admin Servers处,输入winad对应的IP地址。

3.mount NFS卷
mount -t nfs4 -o sec=krb5 10.xxx.xxx.23:/vol/cjeff /home/test

4.在winad上添加cjeff和jfcai用户

5.使用ssh连接到kbrclient,使用cjeff和jfcai登录,其password为在winad中的口令,这两个用户均可以访问/home/test目录。


0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有