Usługi uwierzytelniania z wprowadzenia do systemu Linux autorstwa OnWorks

Przejdź do treści

Komputery klienckie DHCP będą zwykle konfigurowane przy użyciu graficznego interfejsu użytkownika, który konfiguruje dhcpcd, demon klienta DHCP. Sprawdź dokumentację systemu, jeśli chcesz skonfigurować urządzenie jako klienta DHCP.

10.3.9. Usługi uwierzytelniania

10.3.9.1. Tradycyjny

Tradycyjnie użytkownicy są uwierzytelniani lokalnie przy użyciu informacji przechowywanych w / Etc / passwd i

/etc/shadow w każdym systemie. Jednak nawet w przypadku korzystania z usługi sieciowej do uwierzytelniania zawsze będą obecne pliki lokalne umożliwiające skonfigurowanie kont systemowych do użytku administracyjnego, takich jak konto root, konta demonów, a często także konta do dodatkowych programów i celów.

Pliki te są często pierwszymi kandydatami do sprawdzenia przez hakerów, dlatego upewnij się, że uprawnienia i prawa własności są ściśle określone:

Bob: ~> ls -l /etc/passwd /etc/shadow

-rw-r--r-- 1 korzeń główny 1803 10 marca 13:08 /etc/passwd

-r-------- 1 root root 1116 10 marca 13:08 /etc/shadow

Bob: ~> ls -l /etc/passwd /etc/shadow

-rw-r--r-- 1 korzeń główny 1803 10 marca 13:08 /etc/passwd

-r-------- 1 root root 1116 10 marca 13:08 /etc/shadow

10.3.9.2. PAM

Linux może używać PAM, Pluggable Authentication Module, elastycznej metody uwierzytelniania UNIX. Zalety PAM-u:

• Wspólny schemat uwierzytelniania, którego można używać w wielu różnych aplikacjach.

• PAM można zaimplementować w różnych aplikacjach bez konieczności ponownej kompilacji aplikacji w celu obsługi PAM.

• Duża elastyczność i kontrola nad uwierzytelnianiem dla administratora i programisty aplikacji.

• Twórcy aplikacji nie muszą tworzyć swoich programów, aby korzystali z określonego schematu uwierzytelniania. Zamiast tego mogą skupić się wyłącznie na szczegółach swojego programu.

Katalog /etc/pam.d zawiera pliki konfiguracyjne PAM (kiedyś /etc/pam.conf). Każda aplikacja lub usługa ma swój własny plik. Każda linia w pliku ma cztery elementy:

• Moduł:

♦ auth: zapewnia faktyczne uwierzytelnienie (być może żądanie i sprawdzenie hasła) oraz ustawia dane uwierzytelniające, takie jak członkostwo w grupie lub bilety Kerberos.

♦ konto: sprawdza, czy użytkownik może uzyskać dostęp (konto nie wygasło, użytkownik może logować się o tej porze itd.).

♦ password: używany do ustawiania haseł.

♦ Sesja: używany po uwierzytelnieniu użytkownika. Moduł ten wykonuje dodatkowe zadania niezbędne do umożliwienia dostępu (np. zamontowanie katalogu domowego użytkownika lub udostępnienie jego skrzynki pocztowej).

Bardzo ważna jest kolejność układania modułów, aby można było używać wielu modułów.

• Flagi kontrolne: powiedz PAM, jakie działania ma podjąć w przypadku niepowodzenia lub sukcesu. Wartości mogą być wymagany, wymagany, wystarczający or fakultatywny.

• Ścieżka modułu: ścieżka do modułu wtykowego, który ma być używany, zwykle w /lib/bezpieczeństwo.

• Argumenty: informacje o modułach

Pliki haseł Shadow są automatycznie wykrywane przez PAM.

Więcej informacji można znaleźć w pam podręcznikach man lub na stronie głównej projektu Linux-PAM.

10.3.9.3. LDAP

Protokół Lightweight Directory Access Protocol to system klient-serwer umożliwiający dostęp do globalnych lub lokalnych usług katalogowych za pośrednictwem sieci. W systemie Linux używana jest implementacja OpenLDAP. Zawiera klapsa, samodzielny serwer; siorb, samodzielny serwer replikacji LDAP; biblioteki implementujące protokół LDAP oraz szereg narzędzi, narzędzi i przykładowych klientów.

Główną zaletą korzystania z protokołu LDAP jest konsolidacja określonych typów informacji w organizacji. Na przykład wszystkie różne listy użytkowników w organizacji można połączyć w jeden katalog LDAP. Do tego katalogu mogą odpytywać dowolne aplikacje obsługujące protokół LDAP, które potrzebują tych informacji. Dostęp do niego mogą uzyskać także użytkownicy potrzebujący informacji katalogowych.

Inne zalety LDAP lub X.500 Lite obejmują łatwość wdrożenia (w porównaniu do X.500) i

dobrze zdefiniowany interfejs programowania aplikacji (API), co oznacza, że w przyszłości liczba aplikacji i bram LDAP powinna wzrosnąć.

Z drugiej strony, jeśli chcesz używać LDAP, będziesz potrzebować aplikacji obsługujących LDAP lub możliwości korzystania z bram LDAP. Chociaż użycie protokołu LDAP powinno jedynie wzrosnąć, obecnie nie ma zbyt wielu aplikacji obsługujących LDAP dostępnych dla systemu Linux. Ponadto, chociaż protokół LDAP obsługuje pewną kontrolę dostępu, nie posiada tylu funkcji bezpieczeństwa, co protokół X.500.

Ponieważ LDAP jest protokołem otwartym i konfigurowalnym, można w nim przechowywać niemal każdy rodzaj informacji związanych z konkretną strukturą organizacyjną. Typowymi przykładami są wyszukiwanie adresów e-mail, centralne uwierzytelnianie w połączeniu z PAM, książki telefoniczne i bazy danych konfiguracji komputerów.