简介:本文详细讲解如何在 Kerberos 设置(IBM Network Authentication Service)中启用 并使用 “aes128-cts” 等非默认加密类型。还解释执行每个步骤的原因。这些内容有助于 Kerberos 管 理员在 Kerberos 设置中使用任何非默认加密类型。
简介
IBM Network Authentication Service(NAS)基于 Kerberos Version 5 的标准协议 Internet Engineering Task Force(IETF)Request for Comment(RFC)1510。Kerberos 是一种网络身份验证协 议。它的设计目的是,通过使用密钥加密技术,为客户端-服务器应用程序提供强大的身份验证和加密通 信。IBM AIX 上支持 IBM NAS 服务器(KDC)。
Network File System(NFS)version 4 是 NFS 协议的最新版本,它定义新一代网络文件系统。NFS V4 由 RFC 3530 详细说明。NFS V4 的一个重要特性是满足更高的安全标准。在这个协议中,使用 Kerberos、LIPKEY 和 SPKM-3 提供的 GSS-API 框架保护客户端和服务器之间的交互。
IBM NFS V4 使用 IBM NAS 提供的 Kerberos 实现满足它的安全需求。IBM NAS 用于身份验证,也可 以用于 NFS 客户端和服务器之间的消息加密。
IBM NAS 支持不同的加密类型。不同加密类型之间的差异在于算法的强度和使用的密钥长度。算法和 密钥长度的组合产生强加密、中等加密和弱加密。在 IBM NFS V4 之前,IBM AIX V5.3L 和 6.1 能 够使用 AES 加密(128 位和 256 位密钥长度)。
IBM NAS 和 IBM NFS V4 支持的加密类型
IBM NAS 支持 Arcfour、DES、Triple-DES 和 AES 等加密算法。通过组合使用不同的密钥长度和散列 算法,IBM NAS 提供表 1 所示的加密类型。
表 1. IBM NAS 支持的加密类型
| 加密类型 | 说明 | 配置文件中使用的名称 |
| ENCTYPE_AES128_CTS_HMAC_SHA1_96 | AES-128 CTS 模式,96 位 SHA-1 HMAC | "aes128-cts-hmac-sha1-96" / "aes128-cts" |
| ENCTYPE_AES256_CTS_HMAC_SHA1_96 | AES-256 CTS 模式,96 位 SHA-1 HMAC | "aes256-cts-hmac-sha1-96" / "aes256-cts” |
| ENCTYPE_DES_CBC_CRC | DES cbc 模式,CRC-32 | "des-cbc-crc" |
| ENCTYPE_DES_CBC_MD4 | DES cbc 模式,RSA-MD4 | "des-cbc-md4" |
| ENCTYPE_DES_CBC_MD5 | DES cbc 模式,RSA-MD5 | "des-cbc-md5" |
| ENCTYPE_DES3_CBC_SHA1 | Triple DES cbc 模式,HMAC/sha1 | "des3-cbc-sha1" |
| ENCTYPE_ARCFOUR_HMAC | ArcFour,HMAC/md5 | "arcfour-hmac" |
| ENCTYPE_ARCFOUR_HMAC_EXP | Exportable ArcFour,HMAC/md5 | "arcfour-hmac-exp" |
IBM NFS V4 支持 表 1 中的一小部分加密类型。支持的加密算法是 DES、Triple-DES 和 AES。通过 组合使用不同的密钥长度和散列算法,IBM NFS V4 支持以下加密类型:des–cbc–crc、 des–cbc–md4、des–cbc–md5、des3–cbc–sha1、aes128-cts、 aes256-cts。