运行 FTP 时如何将通用安全服务与 Kerberos 配合使用

Kerberos 网络应用程序可以使用通用安全服务 (generic security service, GSS) 实现验证、完整性和保密性。以下步骤显示如何为 ProFTPD 启用 GSS。

开始之前

您必须承担 FTP 服务器上的 root 角色。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

1. 为 FTP 服务器添加主体并更新 FTP 服务器的密钥表文件。

   如果您之前执行过更改，可能无需执行下列步骤。

   1. 启动 kadmin 命令。

      ftpserver1 # /usr/sbin/kadmin -p kws/admin
      Enter password: xxxxxxxx
      kadmin: 

   2. 为 FTP 服务器添加 ftp 服务主体。

      kadmin: addprinc -randkey ftp/ftpserver1.example.com 

   3. 将 ftp 服务主体添加到新的密钥表文件中。

      新的密钥表文件将使该信息可供 ftp 服务使用，同时不公开该服务器的密钥表文件中的所有信息。

      kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com

      有关更多信息，请参见 kadmin(1M) 手册页中的 ktadd 命令。

2. 更改新的密钥表文件的所有权。

   ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab

3. 为 FTP 服务器启用 GSS。

   对 /etc/proftpd.conf 文件执行下列更改。

   # pfedit /etc/proftpd.conf
   LoadModule     mod_gss.c
   
   GSSEngine      on
   GSSKeytab      /etc/krb5/ftp.keytab

4. 重新启动 FTP 服务器。

   # svcadm restart network/ftp