用 Kerberos 为 AIX 实现双因素身份验证

核心提示： Kerberos 是用于网络身份验证的常用安全机制，大多数操作系统（比如 AIX、Linux® 和 Windows®）的登录模块都支持基于 Kerberos 的身份验证，用 Kerberos 为 AIX 实现双因素身份验证(2)，另外，UNIX 系统上的许多远程登录应用程序

Kerberos 是用于网络身份验证的常用安全机制。大多数操作系统（比如 AIX、Linux® 和 Windows®）的登录模块都支持基于 Kerberos 的身份验证。另外，UNIX 系统上的许多远程登录应用程序（比如 Open SSH、telnet、rlogin 等）也有支持 Kerberos 的版本。基于 Kerberos 的身份验证模块可以用 Kerberos API 直接实现，也可以使用 GSS-API 接口实现。随着 Kerberos 的使用越来越广泛，组织很可能需要在使用 OTP 的双因素身份验证系统中使用 Kerberos 机制。

按照推荐的双因素身份验证系统设计，本文使用 Kerberos 实现第一因素身份验证，然后使用 Kerberos 基础架构（通过 GSS-API 接口）实现使用 OTP 令牌的第二因素身份验证。在按照这种方式实现的双因素身份验证系统中，Kerberos 协议扮演双重角色：

在第一因素身份验证中，Kerberos 作为身份验证协议。

在第二因素身份验证中，使用 Kerberos（通过 GSS-API 接口）作为与 OTP 通信的安全通道，并在客户机和服务器之间安全地传输 OTP 的检验结果。

除了支持 Kerberos 的现有应用程序（采用单因素身份验证）之外，还可以按照这种设计在基于网络的解决方案中应用 Kerberos 协议，从而实现双因素身份验证。

GSS-API

IETF RFC 2078 对 GSS-API 的定义如下（参见 参考资料）：

Generic Security Service Application Program Interface (GSS-API) 按照一种通用方式向调用者提供安全服务，可以支持各种底层机制和技术，因此支持在源代码级把应用程序迁移到不同的环境。

Kerberos 是通过 GSS-API 使用的最流行的底层安全机制。IBM Network Authentication Service V1.4 for AIX 实现了 GSS-API 标准并使用 GSS-API 库导出它的接口，这些接口支持 Kerberos 机制。通过使用这些 GSS-API 接口，可以实现使用 Kerberos 机制的安全应用程序和系统。在 GSS-API 中，两个相互通信的应用程序之间的安全连接通常由一个称为安全上下文的数据结构表示。建立安全连接的应用程序称为上下文发起者。接受安全连接的应用程序称为上下文接受者。在发起者和接受者之间建立上下文实际上是一个握手过程，此过程需要对双方进行身份验证。成功地建立 GSS-API 上下文之后，就可以认为已经成功地检验了用户身份。