AIX 6.1 上最新的 IBM Network Authentication Service

核心提示： 图 1. IBM NAS Version 1.4.0.8 for AIX 或更高版本的 ticket_lifetime 关系的演示基于凭证的命令的后运行（post run）脚本IBM NAS 1.4.0.8 的一个新特性允许管理员在成功地执行基于 IBM NAS 凭证的命令（比如 kinit 和

图 1. IBM NAS Version 1.4.0.8 for AIX 或更高版本的 ticket_lifetime 关系的演示

基于凭证的命令的后运行（post run）脚本

IBM NAS 1.4.0.8 的一个新特性允许管理员在成功地执行基于 IBM NAS 凭证的命令（比如 kinit 和 kdestroy）时，通知使用 Kerberos 的其他相关应用程序。初看上去，管理员或开发人员可能体会不到它的价值。但是，通过使用这个特性，管理员和 Kerberos 应用程序开发人员可以有效地同步命令所控制的 Kerberos 凭证状态和 Kerberos 应用程序缓冲区中保存的凭证状态。在 AIX developerWorks 博客（2009 年 2 月 20 日的博客文章）上可以找到对这个特性及其用法的详细解释。

保护 IBM NAS-LDAP 设置中的 LDAP 绑定密码

IBM Network Authentication Service for AIX 服务器支持 LDAP 目录插件，可以用这个插件在 LDAP 中存储身份验证信息。如果客户要把 Kerberos 从 IBM DCE (Distributed Computing Environment) 等遗留系统迁移到 Kerberos，或者希望在 LDAP 中集中存储所有身份验证信息，使用这个插件就是首选方法。在 developerWorks 文章 “Configure IBM Network Authentication Service master KDC with an LDAP back-end server on AIX” 中可以找到使用 LDAP 的 IBM NAS 的详细信息。在这种设置中，AIX 上的 IBM NAS 服务器使用 /var/krb5/krb5kdc/.kdc_ldap_data 文件中的信息与 LDAP 服务器交互。LDAP 绑定密码信息存储在这个文件中。在 IBM NAS 1.4.0.8 之前，它以可读的格式存储。尽管这个文件由 ACL (Access Control List) 保护，只允许根用户访问，但是这对于安全性要求高的系统可能不够。因此，有必要让管理员能够对 LDAP 绑定密码进行加密以提高安全性，同时让 NAS 服务器守护进程仍然可以解释它。