利用 AIX V5.3 中使用 OpenSSH 保護通信安全

學習如何在使用 Microsoft® Active Directory Server 作為密鑰分發中心 (KDC) 的 AIX® Version 5.3 計算機上配置 Kerberized Open Secure Shell (OpenSSH)。OpenSSH 對通信（包括密碼）進行加密以防止竊聽、接管通信連接或窺視數據。如果您工作于具有多供應商解決方案混合環境中的 AIX Version 5.3 系統，那么您會發現本文是非常有價值的。

引言

Open Secure Shell (OpenSSH) 是廣泛使用的 SSH 工具中的一種免費的、開放源碼的實現，SSH 工具廣泛地用于在網絡之間進行安全的通信。通過對兩臺計算機之間的所有通信信息進行加密，它可以排除有人進行探查、接管或窺視您的私有數據的可能性。OpenSSH 還提供了許多身份驗證機制以實現額外的安全性。

Kerberos 是一種常用的身份驗證機制，它為網絡用戶的身份驗證提供了一種安全手段，并且 OpenSSH 提供了對 Kerberos 的支持。通過對客戶端和服務器之間的身份驗證消息進行加密，它可以防止在網絡上使用明文來傳輸密碼。Kerberos 還以管理令牌或憑據的形式提供了一種授權系統。用于 IBM AIX® Version 5.3 的 OpenSSH 軟件 (openssh-3.8.p1) 是 AIX Version 5.3 Expansion Pack CD 附帶的軟件。通過 IBM 版本的 Kerberos，稱為 IBM Network Authentication Service (IBM NAS) Version 1.4，OpenSSH Version 3.8 以及更高的版本提供了對 Kerberos 5 身份驗證和授權的支持。還可以從 AIX Version 5.3 Expansion Pack CD 中安裝用于 AIX 的 IBM NAS Version 1.4。

Microsoft® Active Directory Service 是 Windows® 平臺的重要組成部分，它為各種網絡管理和身份驗證任務提供了相應的方法。Kerberos 是 Windows Active Directory 實現中不可缺少的一部分，并且它作為 Kerberos 領域的密鑰分發中心 (KDC)，廣泛地應用于企業中?？梢栽?Windows Server 2003 和 Windows Server 2000 中配置 Microsoft Active Directory Service。

本文將帶您了解在使用 Microsoft Active Directory Server 作為 KDC 的 AIX Version 5.3 計算機上配置 Kerberized Open Secure Shell (OpenSSH) 所需的步驟。對于那些工作于由 AIX Version 5.3 系統和 Microsoft Active Directory Server 組成的多供應商解決方案的混合環境中的管理員，本文將是非常有幫助的。

先決條件

要按照本文中的場景進行操作，您需要啟動和運行支持 Microsoft Active Directory Domain 的 Kerberos 服務，并且需要為其正確地配置 AIX IBM NAS Version 1.4 客戶端。

AIX Version 5.3 上的 OpenSSH 和 Kerberos (IBM NAS)

本部分內容介紹在 AIX 服務器和客戶端計算機上安裝和配置 Kerberos 和 OpenSSH 所需的初始步驟。AIX Version 5.3 Expansion Pack CD 中附帶了 OpenSSH 和 Kerberos。在安裝 OpenSSH installp 格式的安裝包之前，您必須安裝包含加密庫的開放安全套接字層 (OpenSSL) 軟件?？梢詮?AIX Toolbox for Linux® Applications CD 中獲得 OpenSSL 的 RPM 包，或者您也可以從 AIX Toolbox for Linux Applications 進行下載（請參見參考資料部分）。

在將 OpenSSL 下載到 AIX Version 5.3 計算機的本地目錄（本示例中為 /tmp）之后，可以通過運行下面的命令來安裝它：

# geninstall -d/tmp R:openssl-0.9.6m
            

您可以使用下面兩種方法中的任何一種來安裝 OpenSSH：

smitty->Software Installation and Maintenance->Install and
            Update Software->Install Software
            

或者

# geninstall -I"Y" -d/dev/cd0 I:openssh.base
            

安裝 IBM NAS Version 1.4 客戶端，并將其配置為 Kerberos 領域（Active Directory 域），該 Kerberos 領域由 Microsoft Active Directory Server 承載并用作 KDC。有關 IBM NAS 客戶端安裝及其對 Microsoft Active Directory Server 配置的更詳細的信息，請閱讀 AIX 白皮書“Configuring AIX 5L for Kerberos Based Authentication Using Windows Kerberos Service”（請參見參考資料部分）。

在成功安裝和配置了 IBM NAS 客戶端之后，您需要將 OpenSSH 配置為使用 Kerberos 進行身份驗證。

編輯 /etc/services 文件，使其包含下列條目：

kerberos      88/udp    kdc    # Kerberos V5 KDC
            kerberos      88/tcp    kdc    # Kerberos V5 KDC
            kerberos-adm  749/tcp          # Kerberos 5 admin/changepw
            kerberos-adm  749/udp          # Kerberos 5 admin/changepw
            

在 /etc/ssh/sshd_config 中取消對下列條目的注釋以使得 SSH 守護進程使用 Kerberos 作為其身份驗證機制：

KerberosAuthentication yes
            KerberosTicketCleanup yes
            # GSSAPI options
            GSSAPIAuthentication yes
            

使用下面的命令啟動 SSH 服務器：

#startsrc -g ssh
            

使用下面的命令來確認已正確地啟動了 SSH 服務器：

#ps -ef|grep ssh
            

回頁首

AIX Version 5.3 上使用 Windows Kerberos 服務的 Kerberized OpenSSH

本部分內容描述了一個場景，它將帶您了解在 AIX Version 5.3 計算機（使用 Microsoft Active Directory Server 作為 KDC）上對 Kerberized SSH 進行配置所需的步驟。

本部分內容假設您已經啟動和運行支持 Microsoft Active Directory Domain 的 Kerberos 服務，并且您已為它成功地配置了 AIX IBM NAS Version 1.4 客戶端。有關為 Microsoft Active Directory Server 配置 IBM NAS Version 1.4 客戶端的更詳細的信息，請參閱 IBM NAS Version 1.4 Administration Guide（AIX Version 5.3 Expansion Pack CD 中附帶）以及參考資料部分中的 IBM 白皮書。

有關安裝和配置 Microsoft Active Directory Server 的更詳細的信息，請參閱合適的 Microsoft 文檔以了解如何配置 Microsoft Active Directory Server。

下面的示例中將使用下列定義：

Kerberos Realm Name / Domain Name
            MSKERBEROS.IN.IBM.COM
            KDC (Windows Active Directory Server)
            hostname: windce20.in.ibm.com, OS: Windows 2003 Server
            SSH Server (sshd)
            hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3
            SSH Client
            hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3
            IBM NAS 1.4 Client
            hostname: aixdce16.in.ibm.com, OS: AIX Version 5.3  &
            hostname: aixdce20.in.ibm.com, OS: AIX Version 5.3
            

圖 1 顯示了該示例的設置。

要在 AIX 計算機上配置 Kerberized SSH 使得 AIX 的 IBM NAS 客戶端配置為 Microsoft Active Directory Server，您需要實施下列步驟。

1. 在 Windows Active Directory Server 上，使用 Active Directory 管理工具創建一個與運行 SSH 服務器的 AIX 計算機相對應的新的用戶帳戶。在本示例中為 aixdce16.in.ibm.com。
   1. 打開對話框，從 Users folder 創建一個新的用戶，并完成下面的條目：
      • First Name = aixdce16.in.ibm.com
      • Full Name = aixdce16.in.ibm.com
      • User logon Name = aixdce16.in.ibm.com
      • User logon Name（Windows 2000 以前的版本）= aixdce16.in.ibm.com
   2. 填寫 Password，并在密碼面板中選擇合適的復選框。
   3. 選擇 Finish 以完成用戶的創建。
2. 在 Windows Server 2003 計算機 (windce20.in.ibm.com) 命令行中使用 Ktpass 命令創建 krb5.keytab 文件，并為 AIX 主機 (aixdce16.in.ibm.com) 設置相應的帳戶，如下所示：

   Ktpass -princ host/aixdce16.in.ibm.com@MSKERBEROS.IN.IBM.COM -mapuser aixdce16.in.ibm.com -pass !sandeep17! -out c:\krb5.keytab

   
   
3. 將在步驟 2 中創建的 krb5.keytab 文件復制到 AIX 主機系統（在本示例中，將它復制到或通過 ftp 傳輸到 aixdce16.in.ibm.com）的 /tmp 目錄。將 /tmp/krb5.keytab 文件合并到 AIX 系統的 /etc/krb5/krb5.keytab 文件中。請確保這個 keytab 文件 (/etc/krb5/krb5.keytab) 中包含所需的具有正確的密鑰版本號的 Kerberos 服務器主體條目。如果包含該信息，那么可以在 AIX 計算機 (aixdce16.in.ibm.com) 上啟動 SSH 服務器，如下所示。

   清單 1. 在 AIX 中對 keytab 文件進行設置

   # hostname aixdce16 # ktutil ktutil: rkt /tmp/krb5.keytab ktutil: wkt /etc/krb5/krb5.keytab ktutil: q # kvno host/aixdce16.in.ibm.com kvno = 1 # klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------- 1 host/aixdce16.in.ibm.com@MSKERBEROS.IN.IBM.COM # startsrc -g ssh 0513-059 The sshd Subsystem has been started. Subsystem PID is 22698.

   
   

   請確保 從 kvno 命令獲得的密鑰版本號可以與 klist -k 命令所顯示的 host/<hostname> 主體條目匹配。 如果它們無法匹配，那么您可能需要為 keytab 文件中的host/<hostname> 主體添加一項匹配密鑰版本號的條目。

4. 在 Windows Active Directory Server 中，使用 Active Directory 管理工具創建一個新的用戶帳號，該用戶帳號的名稱與 AIX 計算機上現有的某個用戶帳號的名稱相匹配。在本示例中，我們創建了一個名為 "sandeep" 的用戶帳號，這個帳號也存在于兩臺 AIX 計算機中。有關如何在 Windows Active Directory Server 中創建用戶帳號的信息，請參見上面的步驟 1。

對設置進行測試

現在已經準備好對設置進行測試，并使用 Kerberized SSH。

1. 使用用戶名 sandeep 登錄到 aixdce20.in.ibm.com（SSH 客戶端）。
2. 使用 kinit 命令獲得 sandeep 的有效 Kerberos 憑據。
3. 使用 ssh 登錄到運行 SSH 服務器的 aixdce16.in.ibm.com 上。

下面的清單 2 顯示了 aixdce20.in.ibm.com 上執行的命令序列，它將建立到 aixdce16.in.ibm.com 的以 Kerberos 為身份驗證機制的安全 Shell，并且使用 Microsoft Active Directory Server 作為 KDC。

# hostname
            aixdce20
            # whoami
            sandeep
            # kinit sandeep
            Password for sandeep@MSKERBEROS.IN.IBM.COM:
            # klist
            Ticket cache:  FILE:/var/krb5/security/creds/krb5clearcase/" target="_blank" >cc_0
            Default principal:  sandeep@MSKERBEROS.IN.IBM.COM
            Valid starting     Expires            Service principal
            03/27/06 17:40:28  03/28/06 03:40:34  krbtgt/MSKERBEROS.IN.IBM.COM@MSKERBEROS.IN.IBM.COM
            Renew until 03/28/06 17:40:28
            # ssh aixdce16.in.ibm.com
            *******************************************************************************
            *                                                                             *
            *                                                                             *
            *  Welcome to AIX Version 5.3!                                                *
            *                                                                             *
            *                                                                             *
            *  Please see the README file in /usr/lpp/bos for information pertinent to    *
            *  this release of the AIX Operating System.                                  *
            *                                                                             *
            *                                                                             *
            *******************************************************************************
            $ hostname
            aixdce16
            $ whoami
            sandeep
            $ pwd
            /home/sandeep
            $ exit
            Connection to aixdce16.in.ibm.com closed.
            # hostname
            aixdce20
            # klist
            Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
            Default principal:  sandeep@MSKERBEROS.IN.IBM.COM
            

您已經從 KDC 獲得了主體名 sandeep 的有效憑據，所以讓我們來嘗試以主體 root 用戶進行登錄，如清單 3 所示。

#ssh -v root@aixdce16.in.ibm.com
            OpenSSH_3.8.1p1, OpenSSL 0.9.6m 17 Mar 2004
            debug1: Reading configuration data /etc/ssh/ssh_config
            debug1: Connecting to aixdce16.in.ibm.com [9.182.192.116] port 22.
            debug1: Connection established.
            ..
            ..
            ..
            debug1: Next authentication method: password
            root@aixdce16.in.ibm.com's password:
            Connection closed by 9.182.192.116
            

調試信息 Connection established 表示，盡管 root 用戶可以使用主體 sandeep 的憑據進行成功的身份驗證，但是授權將失敗，即使指定了正確的密碼。這是因為 Kerberos 發現主體 sandeep@MSKERBEROS.IN.IBM.COM 不允許以 root 用戶來訪問。通過在 aixdce16.in.ibm.com:~root/.k5login 中創建一個文件并在其中添加 sandeep 主體，可以授權 root 用戶使用 sandeep 主體。

因為 .k5login 文件覆蓋了缺省的授權規則，所以 root 用戶還需要在其中放置自己的主體，否則它將無法使用主體進行登錄。下面的清單 4 顯示了 aixdce16.in.ibm.com 上 root 用戶的 home 目錄中的 .k5login 文件的內容。

# hostname
            aixdce16
            # cat .k5login
            sandeep@MSKERBEROS.IN.IBM.COM
            root@MSKERBEROS.IN.IBM.COM
            

在創建了該文件之后，root 用戶應該可以使用 sandeep 的憑據成功地登錄了。

$klist
            Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_204
            Default principal:  sandeep@MSKERBEROS.IN.IBM.COM
            Valid starting     Expires            Service principal
            04/13/06 19:41:56  04/14/06 05:37:50 krbtgt/MSKERBEROS.IN.IBM.COM@MSKERBEROS.IN.IBM.COM
            Renew until 04/14/06 19:41:56
            $ssh root@aixdce16.in.ibm.com
            *******************************************************************************
            *                                                                             *
            *                                                                             *
            *  Welcome to AIX Version 5.3!                                                *
            *                                                                             *
            *                                                                             *
            *  Please see the README file in /usr/lpp/bos for information pertinent to    *
            *  this release of the AIX Operating System.                                  *
            *                                                                             *
            *                                                                             *
            *******************************************************************************
            #
            

回頁首

結束語

本文介紹了管理員如何能夠充分地利用使用 Microsoft Active Directory Server 作為 KDC 的AIX Version 5.3 系統中的 Kerberized OpenSSH。如果您的環境并沒有使用 Microsoft Active Directory Server，并且您希望在 AIX Version 5.3 系統中使用 Kerberized OpenSSH，那么我們推薦您在其中一臺 AIX 系統中安裝并配置 IBM NAS Version 1.4 Server，并將它作為 KDC。