以下操作都要root使用者來完成
1.首先將AuthenticationAgent_534x_pam.tar放到目標主機上,然後展開。在安盟認證server上生成目標主機的配置檔案,並放到目標主機上。
2.備份目標主機上/etc/pam.d/sshd 、rlogin 、 login和/etc/ssh/sshd_config.
3.在目標主機/var下建立ace目錄 將生成的配置檔案放到目錄中。
4.開始安裝agent,在解開的AuthenticationAgent_534x_pam.tar 中找到install_pam.sh,並執行預設回車,接受協議,就將agent安裝到了/opt/pam目錄中了。
5.然後在安盟認證server上新增使用者,並啟用這臺目標主機,在目標主機上建立同樣的使用者並加上passwd,在/var/ace目錄下建立一個sdopts.rec檔案寫上CLIENT_IP=目標主機的ip地址。(注意要大寫)目標主機的名字、ip要和安盟的認證代理主機名字、ip相同。
6.執行/opt/pam/bin/acesatus 來檢查狀態,檢視配置是否正確,執行/opt/pam/bin/acetest 來檢查在安盟認證的server上使用者是否能夠通訊。(確認無誤)
7.編輯/etc/ssh/sshd_config 、sshd、rlogin查詢並設定如下:
Openssh 配置:
Sshd_config
UsePam Yes
UsePrivilegeSeparation No
PasswordAuthentication No
並Ucomment the lines as follows:
HostKey /usr/etc/ssh_host_rsa_key
HostKey /usr/etc/ssh_host_dsa_key
Pam 配置:
Sshd(使用ssh來login 需要的配置)
Ucomment the lines as follows:
Auth required pam_stack.so service=system-auth
Auth required pam_nologin.so
加上一行:
Auth required pam_securid.so reserve
rlogin(使用rlogin來login需要的配置)
Ucomment the lines as follows:
Auth sufficient pam_rhosts_auth.so
加上一行:
Auth required pam_securid.so
8.現在安裝配置已經完畢了,我們現在可以進行遠端login測試了,找一個可以login這臺目標主機的機器,執行ssh客戶端軟體,建議用sshclien或是securcrt整合客戶端軟體(windows平臺),linux 就用自帶的客戶端軟體,同時開啟安盟認證server的日誌監視器來檢視實時狀態。
9.注意事項:以上配置應該可以完成認證保護,如沒有成功請仔細檢查配置,保證目標主機也server的通訊正常埠沒有封堵,rlogin、telnet在防火牆開啟的情況下是無法login的,請關掉防火牆服務或清楚防火牆規則。使用者還可以通過在目標主機執行ngrep抓包工具來檢視客戶端–代理-server的通訊情況看到加密的報文(udp)。另外要注意的是要用協議ssh2的版本的server 和client端,openssh如果是3.7.2 需要打path補丁,現在最高能支援到4.1elp1,遠端客戶端使用的工具必須要支援secuid。