疯狂的企鹅系列 单点登录和企业目录（二）(2)

作者: Ti Leggett/黄永兵 译 出处:51CTO.com　2008-03-21 14:18　   砖    好    评论  条 　进入论坛

阅读提示：本文是一个关于保护企业目录以及单点登陆的系列文章，本文是第二部分。

一旦你做好这些设置，务必重新启动sshd。

不幸的是，RHEL3的sshd支持的是旧版本的GSSAPI，叫做gssapi，它对中间人攻击特敏感，它被gssapi-with-mic机制替代了，这个机制在RHEL4和Gentoo中都有，如果你对你sshd支持的机制还不清楚的话，只要在ssd_config文件中启用GSSAPI认证就可以了，然后用详细参数运行ssh，看具体的输出信息，你将得到sshd支持的机制的一个报告，如果你试图使用一个服务器没有使用的机制从客户端来发起连接，你将收到一个输入密码的提示，这是因为证书与该机制稍有不同或不相容就失效了。

我们最终的目标是为用户每天只输入一次密码以及不让密码在线路上传输，因此，如果你的用户每次收发电子邮件时都在线路上发送他们的密码，你该知道有多担忧了，幸运的是，许多电子邮件客户端开始支持GSSAPI机制了，不幸的是，如果你是一个Mozilla Thunderbird用户，你还不能使用这个机制（在写本文的时候是这样），但是，有一些其他的可选客户端存在，如KDE的Kmain 1.8版本和Ximian Evolution 2.2版本已经支持GSSAPI了，我从来没有使用过Kmail，因此我将描述我知道的。配置Evolution使用GSSAPI很简单，只需要在‘接收邮件’和‘发送邮件’标签中选中GSSAPI作为默认的认证机制即可（图1），如果你将‘使用安全连接’选项设置为‘只要可能无论什么时候’的话，Evolution将使用StartTLS来保护数据的传输。

图1 Evolution2.2账号设置

Mac OS X客户端

从Tiger（老虎）开始，Apple几乎所有的操作系统都使用Kerberos了，如果你要集合Panther（黑豹）（v10.3）到你的组织架构中，请与我联系，Tiger要相对容易得多。

从编辑/Library/Preferences/edu.mit.Kerberos开始，这个文件与Linux中的/etc/krb5.conf非常相似，只是有一些非常小的改变，我们的看起来就象列表3的样子：
列表3 /Library/Preferences/edu.mit.Kerberos

[libdefaults]
ticket_lifetime = 600
default_realm = CI.EXAMPLE.COM
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dnsfallback = no

[realms]
CI.EXAMPLE.COM = {
kdc = kdc.example.com:88
kdc = ldap.example.com:88
admin_server = kdc.example.com:749
}

[domain_realm]
.example.com = CI.EXAMPLE.COM
example.com = CI.EXAMPLE.COM

Kerberos配置完成后，就该为主机创建一个keytab文件并将其放入/etc/krb5.keytab中，你可以从OS X客户端运行kadmin，但是因为来自v10.4的版本有一点Bug，你需要加上-O选项：

#/usr/sbin/kadmin -p -O
这就是Tiger下的Kerberos认证。

共4页: 上一页 [1] 2 [3] [4] 下一页

【内容导航】  第 1 页：Linux客户端配置（1）  第 2 页：Linux客户端配置（2）  第 3 页：Mac OS X客户端  第 4 页：资源