תיעודמכונות לקוח DHCP יוגדרו בדרך כלל באמצעות GUI המגדיר את dhcpcd, דמון לקוח DHCP. בדוק את תיעוד המערכת שלך אם עליך להגדיר את המכשיר שלך כלקוח DHCP.
10.3.9. שירותי אימות
10.3.9.1. מָסוֹרתִי
באופן מסורתי, משתמשים מאומתים באופן מקומי, תוך שימוש במידע המאוחסן ב / etc / passwd ו
/etc/shadow בכל מערכת. אבל גם בעת שימוש בשירות רשת לצורך אימות, הקבצים המקומיים תמיד יהיו נוכחים כדי להגדיר חשבונות מערכת לשימוש ניהולי, כגון חשבון השורש, חשבונות הדמון ולעיתים קרובות חשבונות לתוכניות ומטרות נוספות.
קבצים אלה הם לעתים קרובות המועמדים הראשונים להיבדק על ידי האקרים, אז ודא שההרשאות והבעלות מוגדרות בקפדנות כמו שצריך:
בוב:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- שורש שורש אחד 1 1803 במרץ 10:13 /etc/passwd
-r-------- שורש שורש אחד 1 1116 במרץ 10:13 /etc/shadow
בוב:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- שורש שורש אחד 1 1803 במרץ 10:13 /etc/passwd
-r-------- שורש שורש אחד 1 1116 במרץ 10:13 /etc/shadow
10.3.9.2. PAM
לינוקס יכולה להשתמש ב-PAM, מודול האימות הניתן לחיבור, שיטה גמישה לאימות UNIX. יתרונות PAM:
• ערכת אימות נפוצה שניתן להשתמש בה עם מגוון רחב של יישומים.
• PAM יכול להיות מיושם עם יישומים שונים ללא צורך להדר מחדש את היישומים כדי לתמוך ספציפית ב-PAM.
• גמישות ושליטה רבה באימות עבור המנהל ומפתח האפליקציות.
• מפתחי יישומים אינם צריכים לפתח את התוכנית שלהם כדי להשתמש בסכימת אימות מסוימת. במקום זאת, הם יכולים להתמקד אך ורק בפרטי התוכנית שלהם.
הספריה /etc/pam.d מכיל את קובצי התצורה של PAM (בעבר /etc/pam.conf). לכל אפליקציה או שירות יש קובץ משלו. לכל שורה בקובץ יש ארבעה אלמנטים:
• מודול:
♦ auth: מספק את האימות בפועל (אולי מבקש ובדיקת סיסמה) ומגדיר אישורים, כגון חברות בקבוצה או כרטיסי Kerberos.
♦ חשבון: בודק כדי לוודא שהגישה מותרת למשתמש (החשבון לא פג, המשתמש רשאי להתחבר בשעה זו ביום וכן הלאה).
♦ סיסמא: משמש להגדרת סיסמאות.
♦ מושב: בשימוש לאחר שמשתמש עבר אימות. מודול זה מבצע משימות נוספות הדרושות כדי לאפשר גישה (לדוגמה, הרכבה של ספריית הבית של המשתמש או הפיכת תיבת הדואר שלו לזמינה).
הסדר שבו מודולים מוערמים, כך שניתן להשתמש במספר מודולים, חשוב מאוד.
• דגלים בקרה: ספר ל-PAM אילו פעולות לנקוט במקרה של כישלון או הצלחה. ערכים יכולים להיות נדרש, נָחוּץ, מספיק or אופציונלי.
• נתיב מודול: נתיב למודול הניתן לחיבור לשימוש, בדרך כלל ב /lib/security.
• טיעונים: מידע עבור המודולים
קבצי סיסמת צל מזוהים אוטומטית על ידי PAM.
מידע נוסף ניתן למצוא ב פאם דפי אדם או בדף הבית של פרויקט Linux-PAM.
10.3.9.3. Ldap
Lightweight Directory Access Protocol הוא מערכת שרת-לקוח לגישה לשירותי ספרייה גלובליים או מקומיים דרך רשת. ב-Linux, נעשה שימוש ביישום OpenLDAP. זה כולל סלאפ, שרת עצמאי; slurpd, שרת שכפול LDAP עצמאי; ספריות המיישמות את פרוטוקול LDAP וסדרה של כלי עזר, כלים ולקוחות לדוגמה.
היתרון העיקרי בשימוש ב-LDAP הוא איחוד סוגים מסוימים של מידע בתוך הארגון שלך. לדוגמה, ניתן למזג את כל הרשימות השונות של משתמשים בתוך הארגון שלך לספריית LDAP אחת. ספרייה זו ניתנת לשאילתה על ידי כל יישומים התומכים ב-LDAP שזקוקים למידע זה. ניתן לגשת אליו גם על ידי משתמשים הזקוקים לפרטי ספרייה.
יתרונות נוספים של LDAP או X.500 Lite כוללים את קלות היישום שלו (בהשוואה ל-X.500) ואת שלו
ממשק תכנות יישומים (API) מוגדר היטב, מה שאומר שמספר היישומים התומכים ב-LDAP ושערי LDAP אמורים לגדול בעתיד.
בצד השלילי, אם ברצונך להשתמש ב-LDAP, תזדקק ליישומים התומכים ב-LDAP או ליכולת להשתמש בשערי LDAP. בעוד שהשימוש ב-LDAP אמור רק לעלות, כרגע אין הרבה יישומים התומכים ב-LDAP זמינים עבור לינוקס. כמו כן, בעוד ש-LDAP אכן תומך בקרת גישה מסוימת, אין לו תכונות אבטחה רבות כמו X.500.
מכיוון ש-LDAP הוא פרוטוקול פתוח וניתן להגדרה, ניתן להשתמש בו כדי לאחסן כמעט כל סוג של מידע הקשור למבנה ארגוני מסוים. דוגמאות נפוצות הן חיפושי כתובות דואר, אימות מרכזי בשילוב עם PAM, ספריות טלפון ומסדי נתונים של תצורת מחשב.