К защищенным командам группы rcmds относятся команды rlogin, rcp, rsh, telnet и ftp. Теперь помимо прежних способов идентификации эти команды поддерживают новые методы идентификации. Вместе, они обозначаются термином Стандартный метод AIX. (этот термин относится к методам идентификации, применяемым в AIX версии 4.3 и более ранних версий.) Два дополнительных метода идентификации - Kerberos V.5 и Kerberos V.4.
Если для идентификации применяется способ Kerberos V.5, то клиент получает от сервера защиты паспорт Kerberos V.5. Паспорт - это зашифрованная часть текущей идентификационной информации пользователя DCE, предназначенная для сервера TCP/IP, с которым необходимо установить соединение. Программа-демон сервера TCP/IP расшифровывает полученный паспорт. Такой способ позволяет серверу TCP/IP абсолютно точно идентифицировать пользователя. Если описанному в паспорте субъекту DCE разрешен доступ к учетной записи пользователя операционной системы, то соединение устанавливается.
Примечание: Начиная с DCE версии 2.2, сервер защиты поддерживает паспорта Kerberos V.5.
Kerberos V.5 выполняет идентификацию клиента и передает текущую идентификационную информацию пользователя серверу TCP/IP. Если для данного пользователя передача идентификационной информации разрешена, то клиент передает ее серверу как особый вид паспорта Kerberos (так называемый паспорт TGT). Программа-демон сервера TCP/IP преобразует TGT в полную идентификационную информацию DCE с помощью команды k5dcelogin.
Способ идентификации, применяемый в команде ftp, отличается от способов идентификации остальных команд. Для передачи идентификационной информации между командой ftp и демоном ftpd применяется механизм защиты GSSAPI. Клиент ftp шифрует данные с помощью команд clear/safe/private.
Теперь команда ftp позволяет клиентам и серверам операционной системы передавать по соединениям с шифрованием данных многобайтовые символы. В стандартных реализациях этой команды поддерживается передача только однобайтовых символов. Если соединения с шифрованием данных устанавливаются с компьютерами других фирм, то ftp поддерживает передачу только однобайтовых символов.
Для всех защищенных команд группы rcmds предусмотрен единый механизм настройки системы, позволяющий указать разрешенные способы идентификации. Настройка выполняется как для соединений данной системы с другими хостами, так и для соединений с самой этой системой.
Настройка средств идентификации обеспечивается библиотекой libauthm.a и двумя командами lsauthent и chauthent, которые вызываются из командной строки и обращаются к двум библиотечным процедурам: get_auth_methods и set_auth_methods.
Система поддерживает три способа идентификации: Kerberos V.5, Kerberos V.4 и стандартный способ идентификации AIX. Эти способы определяют, как выполняется идентификация пользователей в сети.
Если в конфигурации указано одновременно несколько способов идентификации, то они будут применяться в заданном порядке. Если с помощью первого способа соединение установить не удалось, то клиент попытается выполнить идентификацию следующим способом, указанным в конфигурации.
Порядок применения способов идентификации может быть любым. Однако стандартный способ идентификации AIX всегда должен быть указан последним, так как в нем не предусмотрена опция перехода к следующему способу. Если в конфигурации не указан стандартный способ идентификации AIX, то идентификация по паролю не применяется, а все запросы на соединение с данным способом идентификации отклоняются.
В конфигурации системы можно вообще не указывать способы идентификации. В этом случае будут отклоняться все запросы на установление соединений с другими компьютерами или с данным компьютером с помощью защищенных команд группы rcmds. Кроме того, поскольку Kerberos V.4 поддерживается только командами rsh и rcp, то в системах, применяющих Kerberos V.4 нельзя будет устанавливать соединения с помощью команд telnet, ftp и rlogin.
Дополнительная информация приведена в описании подпрограмм get_auth_method и set_auth_method в книге AIX 5L Version 5.1 Technical Reference: Communications Volume 2, описании команды lsauthent в книге AIX 5L Version 5.1 Commands Reference, Volume 3 и команды chauthenв книге AIX 5L Version 5.1 Commands Reference, Volume 1.
Если для идентификации применяется способ Kerberos V.5, то клиент TCP/IP получает от службы идентификации зашифрованный паспорт, предназначенный для сервера TCP/IP. Сервер расшифровывает паспорт и идентифицирует пользователя (как субъекта DCE) с помощью специального защищенного метода. После этого ему необходимо узнать, разрешен ли данному субъекту DCE доступ к локальной учетной записи пользователя. Для этого предназначена подпрограмма kvalid_user из общей библиотеки libvaliduser.a. Если применяется другой способ идентификации, системный администратор должен заменить библиотеку libvaliduser.a.
Для установления соединения с каким-либо сетевым интерфейсом с помощью защищенной команды группы rcmds, необходимо создать для него два субъекта DCE, а именно:
host/ПолноеИмяИнтерфейса
ftp/ПолноеИмяИнтерфейса
где ПолноеИмяИнтерфейса - это имя интерфейса и имя домена. Формат ИмяХоста.ИмяДомена.