在 Kerberos 跨领域(AIX 和 Windwos 系统）的基础上配置 AIX NFS Version 4

核心提示： Kerberos 跨领域的配置对于各种不同的系统，不同的供应商提供了相应的 Kerberos Version 5 协议实现，在 Kerberos 跨领域(AIX 和 Windwos 系统）的基础上配置 AIX NFS Version 4(2)，其基本用途是实现分布式网络之上的集中式身份验证

Kerberos 跨领域的配置

对于各种不同的系统，不同的供应商提供了相应的 Kerberos Version 5 协议实现。其基本用途是实现分布式网络之上的集中式身份验证。Kerberos 互操作性提供了一种公共协议，以实现异构环境中各种实现之间的共存和协同工作。

在 Kerberos 环境中，所有使用 Kerberos 作为身份验证机制、并且配置了特定 Kerberos 服务器（即 IBM NAS Version 1.4 for AIX 或者 Microsoft Active Directory）的用户和应用程序共同组成了一个称为领域 的单元。Kerberos 客户端（用户或者应用程序）用于进行注册的领域名称是该客户端名称中的一部分，并且 Kerberos 化的应用服务器可以使用领域名称来决定是否认可某个请求。作为 Kerberos 互操作性的一部分，大多数 Kerberos 实现都支持一种称为跨领域配置的思想。跨领域配置的基本概念是建立跨领域的密钥，这些密钥可以帮助两个不同领域的管理员，以允许在一个领域中进行了身份验证的用户能够在另一个领域中使用其 Kerberos 凭据。

下面的部分将描述如何在两个 Kerberos 领域（一个领域配置为 IBM NAS 服务器，而另一个领域配置为 Microsoft Active Directory）之间设置跨领域的配置的详细信息。并进一步说明如何使用 AIX NFS Version 4 作为 Kerberos 化的应用程序，以测试跨领域配置的工作情况。

AIX NFS Version 4 与 IBM NAS 和 Microsoft Active Directory——具体场景

为了在由 IBM NAS 和 Microsoft Active Directory 组成的跨领域的环境中，设置并测试 AIX NFS Version 4 的执行，可以考虑下面的场景。如图 1 中所示，该场景由两个不同的 Kerberos 领域组成。其中一个领域，即 ADFSAIX1.IN.IBM.COM，使用 IBM NAS for AIX 作为 Kerberos 密钥分发中心 (KDC)；另一个领域，即 MSKERBEROS.IN.IBM.COM，使用 Microsoft Active Directory 作为 Kerberos KDC。导出目录的 AIX NFS Version 4 服务器配置为 IBM NAS 领域 ADFSAIX1.IN.IBM.COM，而 AIX NFS Version 4 客户端（装入由 AIX NFS V4 服务器导出的目录）配置为 ADFSAIX1.IN.IBM.COM 和 MSKERBEROS.IN.IBM.COM 两个 Kerberos 领域。这个场景的最终成功目标定义为，administrator@ MSKERBEROS.IN.IBM.COM Kerberos 主体（属于 MSKERBEROS.IN.IBM.COM 领域）应该在 AIX NFS Version 4 客户端计算机中成功地获得 Kerberos 凭据，并且使用这些凭据成功地访问和挂载由 AIX NFS Version 4 nfs/adfsaix1.in.ibm.com@ ADFSAIX1.IN.IBM.COM服务器（属于 ADFSAIX1.IN.IBM.COM 领域）所导出的目录。