kerberos跨域互信_通过Kerberos跨域安装的AIX NFS版本4配置_cusi77914的博客-程序员宝宝

技术标签: python  java  linux  数据库  大数据  

由于安全性是网络文件系统版本4(NFS版本4)的关键方面和销售功能之一,因此它已被广泛接受为下一代分布式文件系统。 NFS版本4的当前实现使用Kerberos(RFC 4120)作为其基础安全性机制来实现身份验证,隐私,完整性和不可否认性。 IBM为其AIX操作系统拥有自己的NFS版本4实施,该操作系统利用IBM网络认证服务版本1.4(IBM NAS-Kerberos的IBM风格)来使文件系统内核化。

部署AIX NFS版本4(或从较旧的分布式文件系统(如DCE / DFS或AFS)迁移的大多数客户)具有混合环境,其中包含Windows和UNIX系统。 在这种异构环境中,某些管理员倾向于将MicrosoftActive Directory用作Windows环境的Kerberos服务器,而将IBM NAS for AIX用作其余环境的Kerberos服务器,从而导致两个不同的Kerberos领域。 在某些情况下,需要AIX NFS版本4跨组织边界运行。 在这种情况下,由不同的供应商(例如,某些使用IBM NAS和其他使用Microsoft Active Directory)使用不同类型的Kerberos部署各个组织中使用的Kerberos服务器的可能性很大。 在类似的其他场景中,某些管理员可能正计划从Microsoft Active Directory迁移到IBM NAS for AIX以充当其领域的Kerberos服务器。

为了使AIX NFS版本4在涉及多个Kerberos领域的方案中工作,您需要在使用IBM NAS 1.4版AIX和Microsoft Active Directory配置的Kerberos领域之间建立域间配置。 本文介绍了必要的配置步骤,以帮助您在IBM NAS版本1.4和Microsoft Active Directory之间配置成功的跨域设置。 它进一步详细说明了AIX NFS版本4在这种跨域设置中需要进行的更改,并通过示例说明了其工作。

Kerberos领域间配置

Kerberos版本5协议由各种供应商为各种系统实现。 它的基本用途是在分布式网络上实现集中式身份验证。 Kerberos互操作性为各种实现在异类环境中共存和协同工作提供了通用协议。

在Kerberos世界中,所有使用Kerberos作为身份验证介质并配置到特定Kerberos服务器(例如,用于AIX的IBM NAS版本1.4或Microsoft Active Directory)的用户和应用程序都组成一个称为realm的单元。 Kerberos客户端(用户或应用程序)在其中注册的领域的名称是该客户端名称的一部分,并且由Kerberos化的应用程序服务器可以使用该领域的名称来决定是否接受请求。 作为Kerberos互操作性的一部分,大多数Kerberos实现都支持一种称为域间配置的理论。 域间配置背后的基本概念是域间密钥的建立,这可以帮助两个不同域的管理员允许在一个域中进行身份验证的客户端在其他域中使用其Kerberos凭据。

以下各节描述了有关如何在两个Kerberos领域之间建立中间领域的配置详细信息,其中一个领域配置为IBM NAS服务器,另一个领域配置为Microsoft Active Directory。 它进一步说明了使用AIX NFS版本4作为以kerberized的应用程序来测试域间配置的工作情况。

带有IBM NAS和Microsoft Active Directory的AIX NFS版本4-场景

为了在由IBM NAS和Microsoft Active Directory组成的Kerberos跨域上设置和测试AIX NFS版本4的执行,请考虑以下情形。 如图1所示,该方案包含两个不同的Kerberos领域。 其中一个域ADFSAIX1.IN.IBM.COM已将IBM NAS for AIX用作Kerberos密钥分发中心(KDC),而另一个域MSKERBEROS.IN.IBM.COM将Microsoft Active Directory用作该领域。 Kerberos KDC。 导出目录的AIX NFS版本4服务器配置为IBM NAS领域ADFSAIX1.IN.IBM.COM ,而AIX NFS V4服务器安装导出的目录的AIX NFS版本4客户端配置为ADFSAIX1 .IN.IBM.COM和MSKERBEROS.IN.IBM.COM Kerberos领域。 定义此方案成功的最终目标是,属于MSKERBEROS.IN.IBM.COM领域的Administrator @ MSKERBEROS.IN.IBM.COM Kerberos主体应该能够成功获取AIX NFS版本4上的Kerberos凭证。客户机,并使用这些凭证来成功访问和安装AIX NFS版本4 nfs / adfsaix1.in.ibm.com @ ADFSAIX1.IN.IBM.COM服务器导出的目录,该服务器属于ADFSAIX1.IN.IBM.COM领域。

本文的示例中使用了以下定义:

清单1.定义
NFS domain name: in.ibm.com

        AIX NAS 1.4 (KDC) and AIX NFS V4 server:
        Realm name              : ADFSAIX1.IN.IBM.COM
        Hostname                : adfsaix1.in.ibm.com
        Operating system        : AIX V5.3
        IBM NAS admin principal : admin/admin
        NFS V4 Server principal : nfs/adfsaix1.in.ibm.com

        Microsoft Active Directory Server (KDC)
        Realm Name             : MSKERBEROS.IN.IBM.COM
        Hostname               : windce20.in.ibm.com
        Operating system       : Microsoft Windows Server 2003
        (Enterprise Edition, SP1)
        Active Directory admin
        Principal              : administrator

        AIX NAS 1.4 client and AIX NFS V4 client
        Realm name       : ADFSAIX1.IN.IBM.COM
        Hostname         : nfsaix02.in.ibm.com
        Operating system : AIX V5.3
        Configured to ADFSAIX1.IN.IBM.COM and MSKERBEROS.IN.IBM.COM realms.
图1.示例设置
图1.示例设置

配置步骤

为了更好地理解,配置步骤分为四个不同的模块:

设置IBM NAS KDC服务器和AIX NFS版本4服务器

  1. 在AIX 5.3机器上安装krb5modcrypt文件集。

    IBM NAS版本1.4文件集随AIX版本5.3扩展CD一起提供。 安装IBM NAS版本1.4服务器和AIX NFS版本4所需的modcrypt.base文件集的命令是:

    清单2.文件集要求
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b#  installp -aqXgd . krb5.server modcrypt.base

    随着AIX 53L(TL 5300-07)和AIX 610的发行,还需要安装AIX Expansion Pack CD随附的clic.rte文件集,这是执行gssd守护程序的先决条件。 有关更多信息,请参考AIX 53L或610文档。

  2. 配置AIX NAS KDC服务器。

    成功安装IBM NAS版本1.4之后,请在AIX机器上配置IBM NAS KDC。 要将NAS KDC服务器配置为使用旧数据库,请使用以下命令,如清单3所示。 有关IBM NAS管理的详细信息,请参阅AIX版本5.3扩展包CD随附的《 IBM NAS版本1.4管理和用户指南》。

    清单3. NAS KDC服务器的配置
    bash-2.05b#  hostname
         adfsaix1.in.ibm.com
    
         bash-2.05b# export PATH=/usr/krb5/bin/:/usr/krb5/sbin/:$PATH
    
         bash-2.05b# config.krb5 -S -r ADFSAIX1.IN.IBM.COM -d in.ibm.com
         Initializing configuration...
         Creating /etc/krb5/krb5_cfg_type...
         Creating /etc/krb5/krb5.conf...
         Creating /var/krb5/krb5kdc/kdc.conf...
         Creating database files...
         Initializing database '/var/krb5/krb5kdc/principal' for realm 'ADFSAIX1.IN.IBM.COM'
         master key name 'K/[email protected]'
         You are prompted for the database Master Password.
         It is important that you DO NOT FORGET this password.
         Enter database Master Password:
         Re-enter database Master Password to verify:
         WARNING: no policy specified for admin/[email protected];
         defaulting to no policy. Note that policy may be overridden by
         ACL restrictions.
         Enter password for principal "admin/[email protected]":
         Re-enter password for principal "admin/[email protected]":
         Principal "admin/[email protected]" created.
         Creating keytable...
         Creating /var/krb5/krb5kdc/kadm5.acl...
         Starting krb5kdc...
         krb5kdc was started successfully.
         Starting kadmind...
         kadmind was started successfully.
         The command completed successfully.

    您还可以使用AIX mkkrb5srv命令配置NAS KDC服务器。 有关更多信息,请参考mkkrb5srv手册页。

    运行此命令时,系统要求输入主数据库密码和名为admin的管理主体的密码。 在安全的地方记录名称和选择的密码,因为这些原则对于您的NAS环境至关重要。

  3. 设置NFS域名。

    必须先设置NFS域名,然后才能使用NFS版本4。

    清单4. NFS设置服务器
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b# chnfsdom 	in.ibm.com
    
            bash-2.05b# chnfsdom
            Current local domain: in.ibm.com
  4. 在NFS版本4服务器上添加NFS域到域的映射。

    在NFS版本4的AIX 5.3实现中,需要在NFS域和所使用的Kerberos领域之间具有交叉关系定义。

    清单5. NFS域到领域的映射
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b# chnfsrtd -a ADFSAIX1.IN.IBM.COM   in.ibm.com
            bash-2.05b# chnfsrtd -a MSKERBEROS.IN.IBM.COM in.ibm.com
    
            bash-2.05b# chnfsrtd
            adfsaix1.in.ibm.com		in.ibm.com
            mskerberos.in.ibm.com	in.ibm.com
  5. 在AIX KDC上创建NFS服务器主体,然后创建NFS服务器密钥表文件条目。

    对于KDC环境中的每个NFS服务器,必须定义类型为nfs / <full_qualified_hostname> @REALM的主体,然后创建服务器密钥表文件条目,如下所示:

    清单6.创建NFS服务器主体
    bash-2.05b#  hostname
         adfsaix1.in.ibm.com
    
    
         bash-2.05b# kadmin.local
         kadmin.local:  ank nfs/adfsaix1.in.ibm.com
         WARNING: no policy specified for nfs/[email protected];
         defaulting to no policy. Note that policy may be overridden by
         ACL restrictions.
         Enter password for principal "nfs/[email protected]":
         Re-enter password for principal "nfs/adfsa[email protected]":
         Principal "nfs/[email protected]" created.
    
         kadmin.local:
         kadmin.local:  ktadd nfs/adfsaix1.in.ibm.com
         Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type Triple DES
    cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
         Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type ArcFour
    with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
         Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type AES-256
    CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
         Entry for principal nfs/adfsaix1.in.ibm.com with kvno 2, encryption type DES cbc
    mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
         kadmin.local:  q
    
         bash-2.05b# klist -k
         Keytab name:  FILE:/etc/krb5/krb5.keytab
         KVNO Principal
         ---- ---------
         2 nfs/[email protected]
         2 nfs/[email protected]
         2 nfs/[email protected]
         2 nfs/[email protected]
  6. 在NFS版本4服务器上设置gssd守护程序。

    要使用RPCSEC_GSS启用NFS版本4,必须在服务器的密钥表文件和NFS服务器主体之间创建映射文件,如下所示:

    清单7.使用RPSEC-GSS启用NFS版本4
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b# nfshostkey -p nfs/adfsaix1.in.ibm.com -f /etc/krb5/krb5.keytab
            bash-2.05b#
            bash-2.05b# nfshostkey -l
            nfs/adfsaix1.in.ibm.com
            /etc/krb5/krb5.keytab
  7. 停止并重新启动NFS守护程序( gssdnfsrgyd ),以使所有更改生效,并在随后的计算机重新启动时启动守护程序。
    清单8.停止和重新启动NFS守护程序
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
            
            bash-2.05b# chnfs -s
            0513-004 The Subsystem or Group, gssd, is currently inoperative.
            
            bash-2.05b# chnfs -S -B 
            0513-059 The gssd Subsystem has been started. Subsystem PID is 389192.
            
            bash-2.05b# chnfs -v
            0513-044 The nfsrgyd Subsystem was requested to stop.
            
            bash-2.05b# chnfs -V 
            0513-059 The nfsrgyd Subsystem has been started. Subsystem PID is 413862.

    输入lssrc -g nfs以确保所有NFS守护程序均处于活动状态。

  8. 从NFS服务器导出目录,该目录只能由Kerberos身份验证的用户或应用程序访问。
    清单9.导出目录
    bash-2.05b#  hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b# exportfs -i -o vers=4,sec=krb5 /home/guest
            bash-2.05b# exportfs
            /home/guest -vers=4,sec=krb5
  9. 在本地安装导出的目录,以测试可以通过Kerberos身份验证访问它。

    获取用户的Kerberos凭据,然后将NFSv4导出的目录挂载在'/ mnt'上。

    清单10.在本地安装导出的目录
    bash-2.05b#  hostname
         adfsaix1.in.ibm.com
    
         bash-2.05b# kinit admin/admin
         Password for admin/[email protected]:
    
         bash-2.05b# mount -o vers=4,sec=krb5 adfsaix1.in.ibm.com:/home/guest/ /mnt
         bash-2.05b#
         bash-2.05b# cd /mnt
         bash-2.05b# ls -l
         total 0
         bash-2.05b# touch file.txt
         bash-2.05b# ls
         file.txt
    
         bash-2.05b# klist
         Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
         Default principal:  admin/[email protected]
    
         Valid starting     Expires            Service principal
         08/24/07 01:25:11  08/25/07 01:24:56  krbtgt/[email protected]
         08/24/07 01:25:21  08/25/07 01:24:56 
     nfs/[email protected]

    有关使用Kerberos AIX NFS版本4的配置的详细信息,请参阅确保NFS在AIX-简介NFS V4在AIX 5L Version 5.3红皮书(参见相关主题 )。

设置Microsoft Active Directory

要在Microsoft Windows Server 2003上设置Microsoft Active Directory,请参阅Microsoft开发人员网络网站上的相关Microsoft Windows文档(请参阅参考资料 )。 对于这种情况,我们在主机名为windce20.in.ibm.com的机器上配置了Active Directory,并将其命名为Active Directory域MSKERBEROS.IN.IBM.COM ,我们也将其称为在Microsoft Active Directory上运行的Microsoft Kerberos Realm。

IBM NAS KDC Server和Microsoft Active Directory上的域间设置

两台KDC机器都需要执行以下步骤才能在到目前为止已配置的两个领域之间建立一个领域间。

  1. krbtgt服务主体添加到NAS KDC服务器。

    为了使一个领域的KDC在另一个领域中对其Kerberos用户进行身份验证,它必须与另一领域中的KDC共享密钥。 因此,您需要创建krbtgt服务主体以进行跨领域访问。 这些主体必须具有相同的密码,这一点很重要。

    清单11.将krbtgt服务主体添加到NAS KDC服务器
    bash-2.05b# hostname
         adfsaix1.in.ibm.com
    
         bash-2.05b# kadmin.local
         kadmin.local:   ank -pw f1lesystem krbtgt/[email protected]
         WARNING: no policy specified for krbtgt/[email protected];
         defaulting to no policy. Note that policy may be overridden by
         ACL restrictions.
         Principal "krbtgt/[email protected]" created.
    
         kadmin.local:
         kadmin.local:  ank -pw f1lesystem krbtgt/[email protected]
         WARNING: no policy specified for krbtgt/[email protected];
         defaulting to no policy. Note that policy may be overridden by
         ACL restrictions.
         Principal "krbtgt/[email protected]" created.
  2. 编辑NAS KDC服务器/etc/krb5/krb5.conf文件,如下所示:

    更改Kerberos客户端文件配置,使其具有两个领域的条目。 在这种情况下,我们在[领域]部分中添加了MSKERBEROS.IN.IBM.COM节,并在[domain_realm]部分中添加了windce20.in.ibm.com = MSKERBEROS.IN.IBM.COM条目。

    清单12.编辑NAS KDC服务器/etc/krb5/krb5.conf文件
    bash-2.05b# hostname
         adfsaix1.in.ibm.com
    
         bash-2.05b#  cat /etc/krb5/krb5.conf
    
         [libdefaults]
         default_realm = ADFSAIX1.IN.IBM.COM
         default_keytab_name = FILE:/etc/krb5/krb5.keytab
         default_tkt_enctypes  = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc
         default_tgs_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc
    
         [realms]
         ADFSAIX1.IN.IBM.COM = {
         kdc = adfsaix1.in.ibm.com:88
         admin_server = adfsaix1.in.ibm.com:749
         default_domain = in.ibm.com
         }
    
         MSKERBEROS.IN.IBM.COM  = {
         kdc = windce20.in.ibm.com:88
         admin_server = windce20.in.ibm.com:749
         default_domain = in.ibm.com
         }
    
         [domain_realm]
         adfsaix1.in.ibm.com = ADFSAIX1.IN.IBM.COM
         windce20.in.ibm.com = MSKERBEROS.IN.IBM.COM
    
         [logging]
         kdc = FILE:/var/krb5/log/krb5kdc.log
         admin_server = FILE:/var/krb5/log/kadmin.log
         default = FILE:/var/krb5/log/krb5lib.log

    如果有多台AIX机器充当NFS版本4服务器,请确保在[domain_realm]部分中添加其主机名条目。

  3. 停止并重新启动krb5守护程序,以便所有更改生效。
    清单13.停止并重新启动krb5守护程序
    bash-2.05b# hostname
            adfsaix1.in.ibm.com
    
            bash-2.05b# stop.krb5
            Stopping /usr/krb5/sbin/krb5kdc...
            /usr/krb5/sbin/krb5kdc was stopped successfully.
            Stopping /usr/krb5/sbin/kadmind...
            /usr/krb5/sbin/kadmind was stopped successfully.
            The command completed successfully.
    
            bash-2.05b# start.krb5
            Starting krb5kdc...
            krb5kdc was started successfully.
            Starting kadmind...
            kadmind was started successfully.
            The command completed successfully.
  4. 验证Windows计算机上的Active Directory配置。

    图2在windce20.in.ibm.com上列出了Active Directory的现有设置。

    图2.在windce20.in.ibm.com上Active Directory的现有设置
    在windce20.in.ibm.com上Active Directory的现有设置
  5. 在Windows Active Directory计算机上使用以下命令为外部Kerberos领域设置配置。

    图3列出了在windce20.in.ibm.com上的Active Directory中添加KDC的输出。

    图3. windce20.in.ibm.com上Active Directory中的KDC
    在windce20.in.ibm.com上的Active Directory中添加KDC的输出
  6. 与Windows Active Directory上的AIX NAS领域创建受信任的域关系。

    登录到承载Active Directory的Windows 2003 Server计算机(windce20.in.ibm.com),然后执行以下操作:

    • 启动域树管理工具。 单击“ 程序” ,“ 管理工具” ,然后单击“ Active Directory域和信任关系”
    • 右键单击您的域的属性 ,然后选择“ 信任”选项卡,然后按“ 新建信任” 。 在ADS信任列表中输入要添加的AIX NAS领域。
    • 选择“ 领域信任”作为信任类型,选择“ 传递性”作为信任传递性, “双向”作为信任方向,然后在“ 信任密码”中 ,键入在上面创建krbtgt服务主体时所传递的密码,例如f1lesystem
    • 此后,将为您的可信领域创建该条目,然后验证其属性。

    图4列出了在Active Directory上的Active Directory领域和NAS领域之间添加信任之后的最终输出。

    图4.在Active Directory上添加信任后的最终输出
    在Active Directory上添加信任后的最终输出。
  7. 确认您能够从NAS服务器计算机上获取ADS主体(管理员)的TGT。
    清单14.确认您能够获得ADS主体文件的TGT
    bash-2.05b#  hostname
              adfsaix1.in.ibm.com
    
    
              bash-2.05b# kinit [email protected]
              Password for [email protected]:
    
              bash-2.05b# klist
              Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
              Default principal:  [email protected]
    
              Valid starting     Expires            Service principal
              08/24/07 01:26:44  08/24/07 11:27:04 
    krbtgt/[email protected]
              Renew until 08/25/07 01:26:44

设置IBM NAS客户端和AIX NFS版本4客户端:测试方案

  1. 在AIX 5.3客户机上安装krb5客户机和modcrypt文件集。

    我们用来安装的命令是:

    清单15.安装krb5客户端和modcrypt文件集
    bash-2.05b# hostname
            nfsaix02.in.ibm.com
     
            bash-2.05b# installp -aqXgYd . krb5.client modcrypt.base
  2. 配置AIX NAS客户端,如下所示:
    清单16.配置AIX NAS客户机
    bash-2.05b# hostname
            nfsaix02.in.ibm.com
            
            bash-2.05b# export PATH=/usr/krb5/bin/:/usr/krb5/sbin/:$PATH
    		
            bash-2.05b# config.krb5 -C -r ADFSAIX1.IN.IBM.COM -d in.ibm.com -s
    adfsaix1.in.ibm.com -c adfsaix1.in.ibm.com
            Initializing configuration...
            Creating /etc/krb5/krb5_cfg_type...
            Creating /etc/krb5/krb5.conf...
            The command completed successfully.

    也可以使用AIX mkkrb5clnt命令来配置AIX NAS客户机。 有关更多信息,请参见mkkrb5clnt手册页。

    然后,修改客户端/etc/krb5/krb5.conf文件,如先前针对NAS服务器所述。
  3. 设置NFS域名并在NFSv4客户端计算机上添加NFS域到域的映射:
    清单17.设置NFS域名并添加NFS域名到领域的映射
    bash-2.05b# hostname
              nfsaix02.in.ibm.com
    
              bash-2.05b# chnfsdom 	in.ibm.com
    
              bash-2.05b# chnfsdom
              Current local domain: in.ibm.com
    
              bash-2.05b# chnfsrtd -a ADFSAIX1.IN.IBM.COM   in.ibm.com
              bash-2.05b# chnfsrtd -a MSKERBEROS.IN.IBM.COM in.ibm.com
    
              bash-2.05b# chnfsrtd
              adfsaix1.in.ibm.com		in.ibm.com
              mskerberos.in.ibm.com		in.ibm.com
  4. 停止并重新启动NFS守护程序( gssdnfsrgyd ),以使所有更改生效,并在随后的计算机重新启动时启动守护程序。
    清单18.停止和重新启动NFS守护程序
    bash-2.05b# hostname
            nfsaix02.in.ibm.com
            
            bash-2.05b# chnfs -s
            0513-004 The Subsystem or Group, gssd, is currently inoperative.
            
            bash-2.05b# chnfs -S -B
            0513-059 The gssd Subsystem has been started. Subsystem PID is 413932.
            
            bash-2.05b# chnfs -v
            0513-044 The nfsrgyd Subsystem was requested to stop.
            
            bash-2.05b# chnfs -V
            0513-059 The nfsrgyd Subsystem has been started. Subsystem PID is 258122.

    通过运行lssrc -g nfs确保所有NFS守护程序现在都处于活动状态。 还要确保所有机器都同时同步。

  5. 在Microsoft领域中为用户获取TGT,并使用它来访问位于IBM NAS领域中的krb5安全性的NFS导出数据。
    清单19.为用户获取TGT
    bash-2.05b# hostname
              nfsaix02.in.ibm.com
    
              bash-2.05b#  kinit [email protected]
              Password for [email protected]:
    
              bash-2.05b# mount -o vers=4,sec=krb5 adfsaix1.in.ibm.com:/home/guest/ /mnt
              bash-2.05b# cd /mnt
              bash-2.05b# touch new.txt
              bash-2.05b# ls
              file.txt  new.txt
    
              bash-2.05b# klist
              Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
              Default principal:  [email protected]
    
              Valid starting     Expires            Service principal
              08/24/07 01:26:44  08/24/07 11:27:04 
    krbtgt/[email protected]
              Renew until 08/25/07 01:26:44
              08/24/07 01:26:44  08/24/07 11:27:04 
    krbtgt/[email protected]
              Renew until 08/25/07 01:26:44
              08/24/07 01:27:25  08/24/07 11:27:04 
    nfs/[email protected]
              Renew until 08/25/07 01:26:44

结论

在本文中,您已经了解了如何配置Kerberos(IBM NAS和Microsoft Active Directory)以促进跨组织边界使用AIX NFS版本4以在异构环境中工作。


翻译自: https://www.ibm.com/developerworks/aix/library/au-nfsoverinterrealm/index.html

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cusi77914/article/details/107114290

智能推荐

PyTorch学习笔记(1)autograd和backward_梆子井欢喜坨的博客-程序员宝宝

目录1. 一个线性回归的例子2. 使用自动求导3. 优化器1. 一个线性回归的例子例子与代码来自 PyTorch 官方教程书《Deep learning with PyTorch》Deep-Learning-with-PyTorch-Chinese假设你去了一些鲜为人知的地方旅游,然后带回了一个花哨的壁挂式模拟温度计。这个温度计看起来很棒,非常适合你的客厅。唯一的缺点是它不显示单位。不用担心,你有一个计划。你用自己喜欢的单位建立一个读数和相应温度值的数据集,然后选择一个模型,并迭代调整单位的权重,直

【无标题】_全世界最好的佳慧的博客-程序员宝宝

用于实时语义分割的双分割网络(BiseNet)摘要介绍相关工作BiseNet摘要语义分割需要丰富的信息空间和较大的接受区域。然而,现代方法通常会牺牲空间分辨率来实现实时推理速度,这导致了信息的匮乏。在这篇文章中,我们用一种新颖的双边分割网络(BiseNet)来解决这个难题。我们首先设计一个小步幅的SP网络来保存空间信息并生成高分辨率的特征,使用CP(Context Path)采用快速下采样的策略来获取足够的接受域,在这两种方法的基础上,我们引入了一个新的特征融合模块去有效的结合特征。提出的架构

Cause: com.mysql.jdbc.exceptions.jdbc4.CommunicationsException: Communications link failure 解决_大可i不必的博客-程序员宝宝

Cause: com.mysql.jdbc.exceptions.jdbc4.CommunicationsException: Communications link failure 解决网上说法:1、修改my.cnf:[mysqld]wait_timeout=31536000interactive_timeout=31536000将过期时间修改为1年。2、在连接URL上添加参数:&amp;autoReconnect=true&amp;failOverReadOnly=false都没有解决。

【玩转SQLite系列】(二)SQLite创建和打开数据库的三种方式_DylanAndroid的博客-程序员宝宝

SQLite创建和打开数据库的三种方式 我们发现,在Android中使用SQLite数据库的时候,创建和打开数据库的时候不止继承SQLiteOpenHelper 这一种方式。目前我至少发现了三种方式: 1.自定义一个类继承SQLiteOpenHelper; 2.使用Context.openOrCreateDatabase(); 3.SQLiteDatab

nabc模型_我的ideas之网络安全——基于NABC模型_weixin_39837352的博客-程序员宝宝

现在,网络聊天工具越来越多,但是QQ还仍未被别的聊天软件所代替,不能说百分百的人都有QQ,那至少也应该现有百分之九十无的人在用QQ。随之而来的确实这便捷沟通背后的安全隐患,一些人就趁机而入,来谋划网络诈骗,所以网络安全也越来越受网民的关注。由于总是遇到同学的QQ被盗发布不良信息的情况,我的ideas是做一个软件来根据发布的信息来确定QQ是否被盗。根据NABC模型,具体如下:1、我的这个想法可以...

嵌入式项目管理_小学徒666的博客-程序员宝宝_嵌入式项目管理

嵌入式系统开发项目管理项目生命周期五大阶段1、项目启动阶段(1)项目可行性分析一个成功的产品,应该从以下3个方面来观察评估:设计产品:商业行为产品设计前,要做好市场调查和评估,要考虑产品的时效性、市场需求和技术可行性;产品设计结束后要写下详细的产品规格(技术层次、人力资源、开发费用、产品成本)尽量避免中途更改产品规格;凡事以最终用户需求或体验为准。管理项目:管理行为项目经理必须清楚了解其任务事在规定的期限内完成质量可接受的产品开发,在此前提下必须衡量人力及其它相关资源,只

随便推点

ssd测试mAP的时候出现tensorflow版本问题,问题 _variable_v2_call() got an unexpected keyword argument 'collections'_duanyajun987的博客-程序员宝宝

按这个博客http://www.studyai.com/article/3e454b9e#goto-page-logo来操作的,结果在测试那里出现问题,如下截图,操作步骤和原博客差不多,同学也是按这个博客来操作,也是成功测试的,网上查过很多,都没发现有类似的问题,检查了一下系统,我的tensorflow版本高于同学的,有可能是这个问题,试试吧。查看tensorflow版本:https...

kali linux 2与ubuntu18环境下安装 metasploit 与armitage遇到database.yml文件找不到的问题_河里一只虾的博客-程序员宝宝

本人小白 在主机是ubuntu 安装了VM其中有kali而kali通常是root权限使用所以 安装了虚拟机运行并学习而kali是在官网下载  这里就不提供链接了而metasploitkali自带 在使用armitage时遇到 database.yml 找不到并且ubuntu中也遇到了类似的问题首先安装 postgresql数据库sudo apt install postgresq...

Flask---flask_mail邮箱发送_易辰_的博客-程序员宝宝

flask-mail 文档 http://www.pythondoc.com/flask-mail/index.html 项目中不可避免需要使用邮箱认证,如果使用flask则可以利用Flask-Mail来实现开启qq邮箱SMTP服务 之后手机验证什么的依自己帐号设置,验证成功后会获得一个授权码,这个需要保存后续发送邮箱时密码就填这个授权码。安装Flask-Mail 使用 pi...

Jzoj P1758 过河___动态规划_disPlayLzy_的博客-程序员宝宝

题目大意:有nnn根柱子,从左至右从111到nnn编号,要跨过这nnn个柱子。一个人要从最左端(第一个柱子的左边),走到一根柱上,再走到下一根柱上,直到走完nnn个柱子(第nnn个柱子也被走过)一开始人在最左端,时刻为000,任意时刻,每一根柱子或者浮上来或者沉下去,市民或者站在某根柱上或者站在两端才是安全的。一个市民只有当柱子浮上时方能站在柱上,这样的柱子才是可靠的。每根柱给出一组数...

在Linux下安装JDK1.6的方法及注意事项_liuyousheng1的博客-程序员宝宝

一、安装创建安装目录,在/usr/java下建立安装路径,并将文件考到该路径下: # mkdir /usr/java 1、jdk-6u11-linux-i586.bin 这个是自解压的文件,在linux上安装如下: # chmod 755 jdk-6u11-linux-i586.bin # ./jdk-6u11-linux-i586.bin (注意,