在 AIX 上配置单点登录身份验证

　2010-03-25 00:00:00　来源：WEB开发网　　　

核心提示： 在 Microsoft Active Directory 服务器上，执行 ktpass 命令为 AIX 客户机生成 keytab 文件，在 AIX 上配置单点登录身份验证(4)，在默认情况下，Windows 2003 服务器上没有安装 ktpass 命令，确保在 AIX Kerberos 客户机

在 Microsoft Active Directory 服务器上，执行 ktpass 命令为 AIX 客户机生成 keytab 文件。

在默认情况下，Windows 2003 服务器上没有安装 ktpass 命令。可以从 Windows 2003 CD 中的 “support tools” 目录安装这个命令。

ktpass　–princ　host/indus52.in.ibm.com@ZTRANS.IBM.COM　-mapuser　indus52　　　　-pass　admin　–kvno　3　-out　indus52.keytab　　　　　　　　　　　　　　　　　　

注意，对于 Windows 2003，ktpass 在默认情况下生成的 KVNO（密钥版本号）为 1。当 AIX 客户机试图连接 AD 时，AD 2003 总是返回 3，这与 keytab 文件中的 KVNO 需求不匹配。通过指定 -kvno 3 选项生成 KVNO 为 3 的 keytab 文件。

把这个 keytab (indus52.keytab) 文件以二进制模式复制到 AIX Kerberos 客户机。

使用 ktutil 命令把复制的文件合并到 /etc/krb5/krb5.keytab 文件中。

$　ktutil　　ktutil:　rkt　indus52.keytab　　ktutil:　wkt　/etc/krb5/krb5.keytab　　ktutil:　q　

在 ktutil 中使用 list 命令查看 keytab 的值：

Ktutil:　list　 Slot　　　KVNO　　　Principal　 ------　　-----------　　-----------------------------------------------　 1　　　　　3　　　　　　　　　host/indus52.in.ibm.com@ZTRANS.IBM.COM

在 AIX 客户机上创建一个与 Windows 2003 用户账户对应的用户。

确保在 AIX Kerberos 客户机上正确地配置用户属性，让用户能够向 AIX 客户机验证身份。

使用 kinit 检查用户是否能够向 Kerberos 服务器验证身份。