Documentação<Anterior | Conteúdo | Próxima>
As máquinas cliente DHCP geralmente serão configuradas usando uma GUI que configura o dhcpcd, o daemon do cliente DHCP. Verifique a documentação do sistema se precisar configurar sua máquina como um cliente DHCP.
10.3.9. Serviços de autenticação
10.3.9.1. Tradicional
Tradicionalmente, os usuários são autenticados localmente, usando as informações armazenadas em / Etc / passwd e
/ etc / shadow em cada sistema. Mas mesmo ao usar um serviço de rede para autenticação, os arquivos locais sempre estarão presentes para configurar contas do sistema para uso administrativo, como a conta root, as contas daemon e, frequentemente, contas para programas e propósitos adicionais.
Esses arquivos costumam ser os primeiros candidatos a serem examinados por hackers, portanto, certifique-se de que as permissões e propriedades sejam definidas estritamente como deveriam ser:
bob: ~> ls -l / etc / passwd / etc / shadow
-rw-r - r-- 1 root root 1803 10 de março 13:08 / etc / passwd
-r -------- 1 root 1116 10 de março 13:08 / etc / shadow
bob: ~> ls -l / etc / passwd / etc / shadow
-rw-r - r-- 1 root root 1803 10 de março 13:08 / etc / passwd
-r -------- 1 root 1116 10 de março 13:08 / etc / shadow
10.3.9.2. PAM
O Linux pode usar PAM, o Pluggable Authentication Module, um método flexível de autenticação UNIX. Vantagens do PAM:
• Um esquema de autenticação comum que pode ser usado com uma ampla variedade de aplicativos.
• O PAM pode ser implementado com vários aplicativos sem a necessidade de recompilar os aplicativos para oferecer suporte específico ao PAM.
• Grande flexibilidade e controle sobre autenticação para o administrador e desenvolvedor de aplicativos.
• Os desenvolvedores de aplicativos não precisam desenvolver seu programa para usar um esquema de autenticação específico. Em vez disso, eles podem se concentrar puramente nos detalhes de seu programa.
O diretório /etc/pam.d contém os arquivos de configuração do PAM (costumava ser /etc/pam.conf) Cada aplicativo ou serviço possui seu próprio arquivo. Cada linha do arquivo possui quatro elementos:
. Módulo:
♦ auth: fornece a autenticação real (talvez pedindo e verificando uma senha) e define credenciais, como associação de grupo ou tíquetes Kerberos.
♦ conta: verifica se o acesso é permitido para o usuário (a conta não expirou, o usuário tem permissão para fazer login a essa hora do dia e assim por diante).
♦ senha: usado para definir senhas.
♦ Sessão: usado depois que um usuário foi autenticado. Este módulo executa tarefas adicionais que são necessárias para permitir o acesso (por exemplo, montar o diretório pessoal do usuário ou disponibilizar sua caixa de correio).
A ordem em que os módulos são empilhados, de modo que vários módulos possam ser usados, é muito importante.
. Bandeiras de controle: diga ao PAM quais ações tomar em caso de falha ou sucesso. Valores podem ser requeridos, necessário, suficiente or opcional.
. Caminho do Módulo: caminho para o módulo conectável a ser usado, geralmente em / lib / security.
. Argumentos: informações para os módulos
Os arquivos de senha de sombra são detectados automaticamente pelo PAM.
Mais informações podem ser encontradas no pam páginas de manual ou na página inicial do projeto Linux-PAM.
10.3.9.3. Ldap
O Lightweight Directory Access Protocol é um sistema cliente-servidor para acessar serviços de diretório globais ou locais em uma rede. No Linux, a implementação OpenLDAP é usada. Inclui bofetada, um servidor autônomo; sorvido, um servidor de replicação LDAP independente; bibliotecas que implementam o protocolo LDAP e uma série de utilitários, ferramentas e clientes de amostra.
O principal benefício de usar o LDAP é a consolidação de certos tipos de informações em sua organização. Por exemplo, todas as diferentes listas de usuários em sua organização podem ser mescladas em um diretório LDAP. Este diretório pode ser consultado por qualquer aplicativo habilitado para LDAP que precise dessas informações. Ele também pode ser acessado por usuários que precisam de informações de diretório.
Outros benefícios do LDAP ou X.500 Lite incluem sua facilidade de implementação (em comparação com o X.500) e seu
Interface de programação de aplicativos (API) bem definida, o que significa que o número de aplicativos habilitados para LDAP e gateways LDAP deve aumentar no futuro.
Do lado negativo, se quiser usar o LDAP, você precisará de aplicativos habilitados para LDAP ou da capacidade de usar gateways LDAP. Embora o uso do LDAP deva apenas aumentar, atualmente não há muitos aplicativos habilitados para LDAP disponíveis para Linux. Além disso, embora o LDAP suporte algum controle de acesso, ele não possui tantos recursos de segurança quanto o X.500.
Como o LDAP é um protocolo aberto e configurável, ele pode ser usado para armazenar quase qualquer tipo de informação relacionada a uma estrutura organizacional específica. Exemplos comuns são pesquisas de endereço de e-mail, autenticação central em combinação com PAM, listas telefônicas e bancos de dados de configuração de máquina.