使用 AIX 上的 LDAP 发现 IBM Network Authentication Service KDC 和管理服务器

核心提示： 注意 [realm] 节中的相关条目，/etc/krb5/krb5.conf 文件的 [realm] 节包含 NAS 客户端在查找 IBM NAS 服务器时所使用的信息，使用 AIX 上的 LDAP 发现 IBM Network Authentication Service KDC 和管理

注意 [realm] 节中的相关条目。/etc/krb5/krb5.conf 文件的 [realm] 节包含 NAS 客户端在查找 IBM NAS 服务器时所使用的信息。在这个示例中，您可以看到 KDC 服务器（[realm] 节中的 "kdc" 条目）和管理服务器（[realm] 节中的 "admin_server" 条目）显式地指出了运行服务器的计算机的主机名和端口号，这是缺省本地配置。

现在，通过运行 IBM NAS 命令以获得 Kerberos 凭据，查看所配置的客户端是否可以与 KDC 服务器进行联系：

bash-2.05b# hostname
land.in.ibm.com
bash-2.05b# /usr/krb5/bin/kinit admin/admin
Password for admin/admin@ISL.IN.IBM.COM:
bash-2.05b# /usr/krb5/bin/klist
Ticket cache:　FILE:/var/krb5/security/creds/krb5cc_0
Default principal:　admin/admin@ISL.IN.IBM.COM
Valid starting　　 Expires　　　　　　Service principal
08/01/07 22:28:27　08/02/07 22:28:27　krbtgt/ISL.IN.IBM.COM@ISL.IN.IBM.COM
　　　　Renew until 08/03/07 03:52:47

因为您可以获得 Kerberos 票据，所以证实了该客户端成功地与 KDC 服务器进行了联系。

另外，通过运行 IBM NAS kadmin 工具列出所有的主体，查看所配置的客户端是否可以与 NAS 管理服务器进行联系：

bash-2.05b# hostname
land.in.ibm.com
bash-2.05b# /usr/krb5/sbin/kadmin -p admin/admin
Authenticating as principal admin/admin with password.
Password for admin/admin@ISL.IN.IBM.COM:
kadmin:　getprincs
K/M@ISL.IN.IBM.COM
admin/admin@ISL.IN.IBM.COM
admin/sales@ISL.IN.IBM.COM
john@ISL.IN.IBM.COM
kadmin/admin@ISL.IN.IBM.COM
kadmin/changepw@ISL.IN.IBM.COM
kadmin/history@ISL.IN.IBM.COM
kadmin/huntcup.in.ibm.com@ISL.IN.IBM.COM
krbtgt/ISL.IN.IBM.COM@ISL.IN.IBM.COM
mack_correct@ISL.IN.IBM.COM
one-minute-sandy@ISL.IN.IBM.COM
sachin/guest@ISL.IN.IBM.COM
tester@ISL.IN.IBM.COM
vipin@ISL.IN.IBM.COM
kadmin:q