以下操作都要root使用者來完成

1.首先將AuthenticationAgent_534x_pam.tar放到目標主機上,然後展開。在安盟認證server上生成目標主機的配置檔案,並放到目標主機上。

2.備份目標主機上/etc/pam.d/sshd  rlogin login/etc/ssh/sshd_config.

3.在目標主機/var下建立ace目錄 將生成的配置檔案放到目錄中。

4.開始安裝agent,在解開的AuthenticationAgent_534x_pam.tar 中找到install_pam.sh,並執行預設回車,接受協議,就將agent安裝到了/opt/pam目錄中了。

5.然後在安盟認證server上新增使用者,並啟用這臺目標主機,在目標主機上建立同樣的使用者並加上passwd,在/var/ace目錄下建立一個sdopts.rec檔案寫上CLIENT_IP=目標主機的ip地址。(注意要大寫)目標主機的名字、ip要和安盟的認證代理主機名字、ip相同。

6.執行/opt/pam/bin/acesatus 來檢查狀態,檢視配置是否正確,執行/opt/pam/bin/acetest 來檢查在安盟認證的server上使用者是否能夠通訊。(確認無誤

7.編輯/etc/ssh/sshd_config sshdrlogin查詢並設定如下:                                      

    Openssh 配置:

Sshd_config

UsePam  Yes

UsePrivilegeSeparation  No

PasswordAuthentication  No

Ucomment the lines as follows:

HostKey /usr/etc/ssh_host_rsa_key

HostKey /usr/etc/ssh_host_dsa_key

 

Pam 配置:

Sshd(使用sshlogin 需要的配置)

Ucomment the lines as follows:

Auth required pam_stack.so service=system-auth

Auth required pam_nologin.so

加上一行:

Auth  required pam_securid.so reserve

 

rlogin(使用rloginlogin需要的配置)

Ucomment the lines as follows:

Auth sufficient pam_rhosts_auth.so

加上一行:

Auth  required pam_securid.so

8.現在安裝配置已經完畢了,我們現在可以進行遠端login測試了,找一個可以login這臺目標主機的機器,執行ssh客戶端軟體,建議用sshclien或是securcrt整合客戶端軟體(windows平臺),linux 就用自帶的客戶端軟體,同時開啟安盟認證server的日誌監視器來檢視實時狀態。

9.注意事項:以上配置應該可以完成認證保護,如沒有成功請仔細檢查配置,保證目標主機也server的通訊正常埠沒有封堵,rlogintelnet在防火牆開啟的情況下是無法login的,請關掉防火牆服務或清楚防火牆規則。使用者還可以通過在目標主機執行ngrep抓包工具來檢視客戶端代理-server的通訊情況看到加密的報文(udp)。另外要注意的是要用協議ssh2的版本的server client端,openssh如果是3.7.2需要打path補丁,現在最高能支援到4.1elp1,遠端客戶端使用的工具必須要支援secuid