Забезпечення безпеки зв'язку за допомогою Kerberos і OpenSSH в AIX 5.3 з використанням служби Windows Kerberos

  1. початкові вимоги
  2. OpenSSH і Kerberos (IBM NAS) на AIX версії 5.3
  3. "Керберізація" OpenSSH на AIX версії 5.3 з використанням служби Windows Kerberos
  4. Малюнок 1. Конфігурація з прикладу
  5. тестування установок
  6. Лістинг 2. Приклад сеансу роботи з SSH і Kerberos
  7. Лістинг 3. Приклад невдалого сеансу роботи з SSH і Kerberos для користувача root
  8. Лістинг 4. Зміст файлу .k5login в домашньому каталозі користувача root
  9. Лістинг 5. Приклад успішного сеансу роботи з SSH і Kerberos для користувача root
  10. висновок
  11. Ресурси для скачування

Як забезпечити безпеку даних при використанні SSH і IBM Network Authentication Services з AIX 5.3

Open Secure Shell (OpenSSH) - вільно розповсюджувана реалізація протоколу SSH з відкритим кодом. SSH широко використовується в усьому світі для забезпечення мережевої безпеки. Він усуває можливість прослуховування або перехоплення даних шляхом шифрування мережевого трафіку між двома машинами. OpenSSH також надає безліч механізмів аутентифікації для додаткової безпеки.

Kerberos - це популярний механізм аутентифікації, що надає безпечні засоби для аутентифікації мережевих користувачів. Він підтримується OpenSSH. Kerberos запобігає передачі паролів відкритим текстом через мережу за допомогою шифрування ідентифікаційних пакетів між клієнтом і сервером. Kerberos також надає систему аутентифікації в формі адміністративних міток administering token або мандатів credentials. Пакет програм OpenSSH (openssh-3.8.p1) для IBM AIX® версії 5.3 поставляється разом на Компатії-дисках AIX версії 5.3 Expansion Pack CD. OpenSSH версії 3.8 і більш пізні версії підтримують аутентифікацію і авторизацію Kerberos 5 за допомогою версії IBM Kerberos, відомої також як IBM Network Authentication Service (IBM NAS) версії 1.4. IBM NAS Version 1.4 для AIX записаний на тих же компакт-дисках з набору AIX версії 5.3 Expansion Pack CD.

Служба Microsoft® Active Directory є ключовим компонентом платформи Windows® і надає безліч засобів для управління мережею й аутентифікації. Kerberos - це невіддільна частина реалізації Windows Active Directory, крім того він широко використовується на підприємствах як центр розподілу ключів Key Distribution Center (KDC) для Kerberos. Служба Microsoft Active Directory може бути налаштована і встановлена ​​на Windows Server 2003 або Windows Server 2000.

Дана стаття розгляне всі процедури, необхідні для налаштування OpenSSH для роботи з Kerberos на комп'ютерах з AIX версії 5.3 для використання ними сервера Microsoft Active Directory як центру KDC. Ця стаття призначена для полегшення життя адміністраторів, які працюють в гетерогенному середовищі з рішеннями від різних виробників, в тому числі системах з AIX 5.3 і серверами Microsoft Active Directory.

початкові вимоги

Для успішного виконання сценарію, викладеного в цій статті, необхідно мати встановлений і запущений Microsoft Active Directory Domain з підтримкою Kerberos. Також потрібно налаштувати клієнт AIX IBM NAS версії 1.4 для зв'язку з ним.

OpenSSH і Kerberos (IBM NAS) на AIX версії 5.3

У цьому розділі описуються вимоги для установки і настройки Kerberos і OpenSSH на сервері AIX і клієнтських машинах. Обидва продукти - OpenSSH і Kerberos - поставляються в складі AIX версії 5.3 Expansion Pack Cds. Перед установкою OpenSSH необхідно встановити пакет Open Secure Sockets Layer (OpenSSL), який містить необхідні для шифрування бібліотеки. OpenSSL входить до складу RPM-пакетів, що поставляються на AIX Toolbox for Linux® Applications CD. Також можна завантажити ці пакети зі сторінки AIX Toolbox for Linux Applications (див. Розділ ресурси ).

Після того як OpenSSL записаний в локальний каталог на комп'ютер з AIX версії 5.3 (/ tmp в даному випадку), для його інсталяції потрібно ввести наступну команду:

# Geninstall -d / tmp R: openssl-0.9.6m

Встановити OpenSSH можна одним з таких методів:

smitty-> Software Installation and Maintenance-> Install and Update Software-> Install Software

або

# Geninstall -I "Y" -d / dev / cd0 I: openssh.base

Тепер треба встановити клієнт IBM NAS версії 1.4 і налаштувати його на Kerberos realm (Active Directory domain), керований сервером Microsoft Active Directory і працює як KDC. Деталі установки і настройки клієнта IBM NAS, а також його налаштування для роботи з сервером Microsoft Active Directory можна знайти в статті AIX "Configuring AIX 5L for Kerberos Based Authentication Using Windows Kerberos Service" (див. Розділ ресурси ).

Після успішної установки і настройки клієнта IBM NAS потрібно налаштувати OpenSSH для роботи з Kerberos аутентифікації.

Відредагований файл / etc / services повинен містити наступні рядки:

kerberos 88 / udp kdc # Kerberos V5 KDC kerberos 88 / tcp kdc # Kerberos V5 KDC kerberos-adm 749 / tcp # Kerberos 5 admin / changepw kerberos-adm 749 / udp # Kerberos 5 admin / changepw

Потрібно зняти коментарі з наступних рядків в / etc / ssh / sshd_config для аутентифікації в SSH через Kerberos:

KerberosAuthentication yes KerberosTicketCleanup yes # GSSAPI options GSSAPIAuthentication yes

Запустимо сервер SSH наступною командою:

#startsrc -g ssh

Перевіримо, що SSH сервер запустився, використовуючи команду:

#ps -ef | grep ssh

"Керберізація" OpenSSH на AIX версії 5.3 з використанням служби Windows Kerberos

Даний розділ описує налаштування SSH, який підтримує Kerberos, налаштований для комп'ютерів AIX версії 5.3, що використовують сервер Microsoft Active Directory, і функціонує як KDC.

Мається на увазі, що Microsoft Active Directory Domain з підтримкою Kerberos і клієнт AIX IBM NAS версії 1.4 для нього вже встановлені і налаштовані. Деталі установки і настройки клієнта IBM NAS а також його налаштування для роботи з сервером Microsoft Active Directory можна знайти в керівництві IBM NAS версії 1.4 Administration Guide (поставляється на AIX версії 5.3 Expansion Pack CD) і в статтях IBM в розділі ресурси .

Інформацію по встановленню та налагодженню сервера Microsoft Active Directory можна знайти у відповідній документації Microsoft по Microsoft Active Directory Server.

У прикладі ми будемо використовувати такі визначення:

Kerberos Realm Name / Domain Name MSKERBEROS.IN.IBM.COM KDC (Windows Active Directory Server) hostname: windce20.in.ibm.com, OS: Windows 2003 Server SSH Server (sshd) hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3 SSH Client hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3 IBM NAS 1.4 Client hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3 & hostname: aixdce20.in.ibm. com, OS: AIX Version 5.3

на малюнку 1 показана конфігурація з прикладу.

Малюнок 1. Конфігурація з прикладу
Як забезпечити безпеку даних при використанні SSH і IBM Network Authentication Services з AIX 5

Для настройки Kerberos в SSH на AIX-комп'ютерах з клієнтами IBM NAS, що працюють з сервером Microsoft Active Directory, необхідно виконати наступні кроки.

  1. Створити нового користувача на сервер Windows Active Directory, використовуючи інструмент Active Directory Management, для SSH сервера, запущеного на AIX-комп'ютері. У нашому прикладі це aixdce16.in.ibm.com.
    1. Потрібно відкрити діалогове вікно для створення нових користувачів і заповнити наступні поля:
      • First Name = aixdce16.in.ibm.com
      • Full Name = aixdce16.in.ibm.com
      • User logon Name = aixdce16.in.ibm.com
      • User logon Name (pre-Windows 2000) = aixdce16.in.ibm.com
    2. Ввести Password і поставити потрібні прапорці.
    3. Натиснути Finish для завершення створення користувача.
  2. Використовуючи команду Ktpass на Windows Server 2003 (windce20.in.ibm.com) створити файл krb5.keytab і налаштувати обліковий запис користувача для AIX комп'ютера (aixdce16.in.ibm.com): Ktpass -princ host / aixdce16.in.ibm. [email protected] -mapuser aixdce16.in.ibm.com -pass! sandeep17! -out c: \ krb5.keytab
  3. Скопіювати створений на попередньому кроці файл krb5.keytab на AIX-комп'ютер (в нашому прикладі - copy / ftp на aixdce16.in.ibm.com) в каталог / tmp, об'єднати скопійований файл (/tmp/krb5.keytab) з файлом / etc /krb5/krb5.keytab. Потрібно перевірити, чи містить отриманий файл (/etc/krb5/krb5.keytab) необхідний запис для сервера Kerberos з правильною версією, і потім запустити SSH-сервер на AIX-комп'ютері (aixdce16.in.ibm.com), як показано нижче.

    Лістинг 1. Налаштування файлу keytab на AIX

    # Hostname aixdce16 # ktutil ktutil: rkt /tmp/krb5.keytab ktutil: wkt /etc/krb5/krb5.keytab ktutil: q # kvno host / aixdce16.in.ibm.com kvno = 1 # klist -k Keytab name: FILE : /etc/krb5/krb5.keytab KVNO Principal ---- --------- 1 host/[email protected] # startsrc -g ssh 0513-059 The sshd Subsystem has been started. Subsystem PID is 22698.

    Потрібно перевірити, що версія ключа, отримана командою kvno, збігається з версією, яку показує при виклику команди klist -k для запису host / <hostname>. Якщо вони не збігаються - необхідно додати новий запис для host / <hostname> з потрібною версією в файл keytab.

  4. Створити нового користувача на сервері Windows Active Directory, використовуючи інструмент Active Directory Management, з ім'ям, що збігається з ім'ям користувальницької записи на AIX комп'ютері. У нашому прикладі це sandeep - користувач, наявний на обох AIX-комп'ютерах. Для інформації дивіться перший крок щодо створення користувальницької записи на сервері Windows Active Directory.

тестування установок

Тепер можна протестувати встановлену систему і використовувати SSH з Kerberos.

  1. Зайти на aixdce20.in.ibm.com (клієнт SSH) як користувач sandeep.
  2. Ініціалізувати Kerberos для користувача sandeep командою kinit.
  3. Підключитися за допомогою SSH на ssh на aixdce16.in.ibm.com запущений SSH-сервер.

В лістингу 2 наведено сеанс роботи на aixdce20.in.ibm.com, в результаті якого встановлюється безпечне SSH-з'єднання з aixdce16.in.ibm.com з використанням Kerberos як аутентификационного механізму і сервера Microsoft Active Directory як KDC.

Лістинг 2. Приклад сеансу роботи з SSH і Kerberos

# Hostname aixdce20 # whoami sandeep # kinit sandeep Password for [email protected]: # klist Ticket cache: FILE: / var / krb5 / security / creds / krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 03/27/06 17:40:28 03/28/06 03:40:34 krbtgt/[email protected] Renew until 03/28/06 17 : 40: 28 # ssh aixdce16.in.ibm.com ************************************* ****************************************** * * * * * Welcome to AIX Version 5.3! * * * * * * Please see the README file in / usr / lpp / bos for information pertinent to * * this release of the AIX Operating System. * * * * * ********************************************* ********************************** $ hostname aixdce16 $ whoami sandeep $ pwd / home / sandeep $ exit Connection to aixdce16.in.ibm.com closed. # Hostname aixdce20 # klist Ticket cache: FILE: / var / krb5 / security / creds / krb5cc_0 Default principal: [email protected]

Ми благополучно отримали квиток Kerberos ticket від KDC для користувача sandeep. Тепер спробуємо зайти як користувач root, як це показано в лістингу 3 .

Лістинг 3. Приклад невдалого сеансу роботи з SSH і Kerberos для користувача root

#ssh -v [email protected] OpenSSH_3.8.1p1, OpenSSL 0.9.6m 17 Mar 2004 debug1: Reading configuration data / etc / ssh / ssh_config debug1: Connecting to aixdce16.in.ibm.com [9.182. 192.116] port 22. debug1: Connection established. .. .. .. debug1: Next authentication method: password [email protected]'s password: Connection closed by 9.182.192.116

Налагоджувальне повідомлення Connection established означає, що навіть якщо аутентифікація пройшла успішно, в результаті було відмовлено в авторизації незважаючи на правильний пароль. Це відбувається тому, що [email protected] не має прав для доступу як root. Користувач root може дати відповідні права користувачеві sandeep, створивши файл aixdce16.in.ibm.com:~root/.k5login і додавши запис для sandeep.

Так як вміст файлу .k5login перекриває правила за замовчуванням, користувач root також повинен створити запис і для себе, інакше він не зможе зайти на сервер (через SSH і Kerberos). В лістингу 4 показано вміст файлу .k5login в aixdce16.in.ibm.com:~root/.

Лістинг 4. Зміст файлу .k5login в домашньому каталозі користувача root

# Hostname aixdce16 # cat .k5login [email protected] [email protected]

Після створення цього файлу користувач root зможе заходити в систему використовуючи логін і пароль (credentials) користувача sandeep.

Лістинг 5. Приклад успішного сеансу роботи з SSH і Kerberos для користувача root

$ Klist Ticket cache: FILE: / var / krb5 / security / creds / krb5cc_204 Default principal: [email protected] Valid starting Expires Service principal 04/13/06 19:41:56 04/14/06 05 : 37: 50 krbtgt/[email protected] Renew until 04/14/06 19:41:56 $ ssh [email protected] ****** ************************************************** *********************** * * * * * Welcome to AIX Version 5.3! * * * * * * Please see the README file in / usr / lpp / bos for information pertinent to * * this release of the AIX Operating System. * * * * * ********************************************* ********************************** #

висновок

Дана стаття показує, як адміністратор може використовувати спільно Kerberos і OpenSSH на системах з AIX версії 5.3 і сервером Microsoft Active Directory, що працює як KDC. Якщо адміністратор не використовує сервер Microsoft Active Directory, але хоче використовувати Kerberos спільно з SSH, ми рекомендуємо встановити і налаштувати в якості KDC сервер IBM NAS версії 1.4 на одній з його систем під управлінням AIX.

Ресурси для скачування

Схожі теми

Підпишіть мене на повідомлення до коментарів

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: