DokumentationDHCP-Client-Rechner werden normalerweise über eine GUI konfiguriert, die die konfiguriert dhcpcd, der DHCP-Client-Daemon. Überprüfen Sie Ihre Systemdokumentation, wenn Sie Ihren Computer als DHCP-Client konfigurieren müssen.
10.3.9. Authentifizierungsdienste
10.3.9.1. Traditionell
Traditionell werden Benutzer lokal anhand der in gespeicherten Informationen authentifiziert / etc / passwd und
/etc/shadow auf jedem System. Aber selbst wenn ein Netzwerkdienst zur Authentifizierung verwendet wird, sind die lokalen Dateien immer vorhanden, um Systemkonten für administrative Zwecke zu konfigurieren, wie z. B. das Root-Konto, die Daemon-Konten und oft auch Konten für zusätzliche Programme und Zwecke.
Diese Dateien sind oft die ersten Kandidaten für die Untersuchung durch Hacker. Stellen Sie daher sicher, dass die Berechtigungen und Eigentumsrechte genau so festgelegt sind, wie sie sein sollten:
bob:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- 1 root root 1803 10. März 13:08 /etc/passwd
-r-------- 1 root root 1116 10. März 13:08 /etc/shadow
bob:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- 1 root root 1803 10. März 13:08 /etc/passwd
-r-------- 1 root root 1116 10. März 13:08 /etc/shadow
10.3.9.2. PAMS
Linux kann PAM, das Pluggable Authentication Module, verwenden, eine flexible Methode der UNIX-Authentifizierung. Vorteile von PAM:
• Ein gemeinsames Authentifizierungsschema, das mit einer Vielzahl von Anwendungen verwendet werden kann.
• PAM kann mit verschiedenen Anwendungen implementiert werden, ohne dass die Anwendungen neu kompiliert werden müssen, um speziell PAM zu unterstützen.
• Große Flexibilität und Kontrolle über die Authentifizierung für den Administrator und Anwendungsentwickler.
• Anwendungsentwickler müssen ihr Programm nicht für die Verwendung eines bestimmten Authentifizierungsschemas entwickeln. Stattdessen können sie sich ausschließlich auf die Details ihres Programms konzentrieren.
Das Verzeichnis /etc/pam.d enthält die PAM-Konfigurationsdateien (früher /etc/pam.conf). Jede Anwendung oder jeder Dienst verfügt über eine eigene Datei. Jede Zeile in der Datei besteht aus vier Elementen:
• Modul:
♦ auth: Bietet die eigentliche Authentifizierung (möglicherweise das Anfordern und Überprüfen eines Kennworts) und legt Anmeldeinformationen fest, z. B. Gruppenmitgliedschaft oder Kerberos-Tickets.
♦ Konto: Prüft, ob der Zugriff für den Benutzer zulässig ist (das Konto ist nicht abgelaufen, der Benutzer darf sich zu dieser Tageszeit anmelden usw.).
♦ Passwort: Wird zum Festlegen von Passwörtern verwendet.
♦ Sitzung: Wird verwendet, nachdem ein Benutzer authentifiziert wurde. Dieses Modul führt zusätzliche Aufgaben aus, die erforderlich sind, um den Zugriff zu ermöglichen (z. B. das Mounten des Home-Verzeichnisses des Benutzers oder das Bereitstellen seines Postfachs).
Die Reihenfolge, in der die Module gestapelt werden, damit mehrere Module verwendet werden können, ist sehr wichtig.
• Kontrollflaggen: Teilen Sie PAM mit, welche Maßnahmen bei Misserfolg oder Erfolg ergriffen werden sollen. Werte können sein falls angefordert, Requisit, ausreichend or optional.
• Modulpfad: Pfad zum zu verwendenden steckbaren Modul, normalerweise in /lib/security.
• Argumente: Informationen zu den Modulen
Shadow-Passwortdateien werden von PAM automatisch erkannt.
Weitere Informationen finden Sie im Verzeichnis pam Manpages oder auf der Homepage des Linux-PAM-Projekts.
10.3.9.3. LDAP
Das Lightweight Directory Access Protocol ist ein Client-Server-System für den Zugriff auf globale oder lokale Verzeichnisdienste über ein Netzwerk. Unter Linux wird die OpenLDAP-Implementierung verwendet. Es enthält schlagen, ein eigenständiger Server; schlürfend, ein eigenständiger LDAP-Replikationsserver; Bibliotheken, die das LDAP-Protokoll implementieren, sowie eine Reihe von Dienstprogrammen, Tools und Beispielclients.
Der Hauptvorteil der Verwendung von LDAP ist die Konsolidierung bestimmter Arten von Informationen innerhalb Ihres Unternehmens. Beispielsweise können alle verschiedenen Benutzerlisten innerhalb Ihrer Organisation in einem LDAP-Verzeichnis zusammengeführt werden. Dieses Verzeichnis kann von allen LDAP-fähigen Anwendungen abgefragt werden, die diese Informationen benötigen. Es kann auch von Benutzern aufgerufen werden, die Verzeichnisinformationen benötigen.
Zu den weiteren Vorteilen von LDAP oder X.500 Lite gehören die einfache Implementierung (im Vergleich zu X.500) und seine
Eine klar definierte Anwendungsprogrammierschnittstelle (API) bedeutet, dass die Anzahl der LDAP-fähigen Anwendungen und LDAP-Gateways in Zukunft zunehmen dürfte.
Der Nachteil: Wenn Sie LDAP verwenden möchten, benötigen Sie LDAP-fähige Anwendungen oder die Möglichkeit, LDAP-Gateways zu verwenden. Während die LDAP-Nutzung voraussichtlich nur zunehmen wird, sind derzeit nicht sehr viele LDAP-fähige Anwendungen für Linux verfügbar. Auch wenn LDAP eine gewisse Zugriffskontrolle unterstützt, verfügt es nicht über so viele Sicherheitsfunktionen wie X.500.
Da LDAP ein offenes und konfigurierbares Protokoll ist, können damit nahezu alle Arten von Informationen gespeichert werden, die sich auf eine bestimmte Organisationsstruktur beziehen. Gängige Beispiele sind die Suche nach E-Mail-Adressen, zentrale Authentifizierung in Kombination mit PAM, Telefonverzeichnisse und Maschinenkonfigurationsdatenbanken.