Онлайн-рабочие станции OnWorks Linux и Windows

Логотип

Бесплатный хостинг в Интернете для рабочих станций

<Предыдущая | Содержание: | Следующая>

Клиентские машины DHCP обычно настраиваются с помощью графического интерфейса, который настраивает dhcpcd, демон DHCP-клиента. Если вам нужно настроить свой компьютер в качестве DHCP-клиента, проверьте документацию вашей системы.


изображение

10.3.9. Услуги аутентификации


10.3.9.1. Традиционный


Традиционно пользователи аутентифицируются локально, используя информацию, хранящуюся в / И т.д. / пароль и

/etc/shadow в каждой системе. Но даже при использовании сетевой службы для аутентификации всегда будут присутствовать локальные файлы для настройки системных учетных записей для административного использования, таких как учетная запись root, учетные записи демона и часто учетные записи для дополнительных программ и целей.


Эти файлы часто являются первыми кандидатами на проверку хакерами, поэтому убедитесь, что разрешения и права собственности установлены строго так, как и должно быть:


боб: ~> ls -l /etc/passwd /etc/shadow

-rw-r--r-- 1 корень root 1803 10 марта 13:08 /etc/passwd

-r-------- 1 корень root 1116 10 марта 13:08 /etc/shadow

боб: ~> ls -l /etc/passwd /etc/shadow

-rw-r--r-- 1 корень root 1803 10 марта 13:08 /etc/passwd

-r-------- 1 корень root 1116 10 марта 13:08 /etc/shadow


изображение


10.3.9.2. ПАМ


Linux может использовать PAM, подключаемый модуль аутентификации, гибкий метод аутентификации UNIX. Преимущества ПАМ:


• Общая схема аутентификации, которую можно использовать в самых разных приложениях.


• PAM можно реализовать с различными приложениями без необходимости перекомпиляции приложений для специальной поддержки PAM.

• Большая гибкость и контроль над аутентификацией для администратора и разработчика приложений.

• Разработчикам приложений не нужно разрабатывать свои программы для использования определенной схемы аутентификации. Вместо этого они могут сосредоточиться исключительно на деталях своей программы.


Каталог /etc/pam.d содержит файлы конфигурации PAM (ранее /etc/pam.conf). Каждое приложение или служба имеет свой собственный файл. Каждая строка файла состоит из четырех элементов:


Модули:


авт: обеспечивает фактическую аутентификацию (возможно, запрос и проверку пароля) и устанавливает учетные данные, такие как членство в группе или билеты Kerberos.

аккаунт : проверяет, разрешен ли пользователю доступ (срок действия учетной записи не истек, пользователю разрешен вход в систему в это время суток и т. д.).

password: используется для установки паролей.

Сессия: используется после аутентификации пользователя. Этот модуль выполняет дополнительные задачи, необходимые для разрешения доступа (например, монтирование домашнего каталога пользователя или предоставление доступа к его почтовому ящику).

Порядок расположения модулей, чтобы можно было использовать несколько модулей, очень важен.

Флаги управления: сообщить PAM, какие действия следует предпринять в случае неудачи или успеха. Ценности могут быть обязательный, реквизит, достаточный or необязательный.

Путь к модулю: путь к подключаемому модулю, который будет использоваться, обычно в /lib/безопасность.

аргументы: информация по модулям


Файлы теневых паролей автоматически обнаруживаются PAM.


Более подробную информацию можно найти в PAM man-страницах или на домашней странице проекта Linux-PAM.


изображение

10.3.9.3. ЛДАП


Облегченный протокол доступа к каталогам — это клиент-серверная система для доступа к глобальным или локальным службам каталогов по сети. В Linux используется реализация OpenLDAP. Оно включает шлепок, автономный сервер; slurpd, автономный сервер репликации LDAP; библиотеки, реализующие протокол LDAP, а также ряд утилит, инструментов и примеров клиентов.


Основным преимуществом использования LDAP является консолидация определенных типов информации внутри вашей организации. Например, все различные списки пользователей вашей организации можно объединить в один каталог LDAP. Этот каталог может быть запрошен любыми приложениями с поддержкой LDAP, которым нужна эта информация. Доступ к нему также могут получить пользователи, которым нужна информация о каталоге.


Другие преимущества LDAP или X.500 Lite включают простоту реализации (по сравнению с X.500) и

четко определенный интерфейс прикладного программирования (API), что означает, что количество приложений с поддержкой LDAP и шлюзов LDAP должно увеличиться в будущем.


С другой стороны, если вы хотите использовать LDAP, вам потребуются приложения с поддержкой LDAP или возможность использовать шлюзы LDAP. Хотя использование LDAP должно только увеличиваться, в настоящее время для Linux доступно не так много приложений с поддержкой LDAP. Кроме того, хотя LDAP и поддерживает некоторый контроль доступа, он не обладает таким количеством функций безопасности, как X.500.


Поскольку LDAP является открытым и настраиваемым протоколом, его можно использовать для хранения практически любого типа информации, относящейся к определенной организационной структуре. Типичными примерами являются поиск почтовых адресов, централизованная аутентификация в сочетании с PAM, телефонные справочники и базы данных конфигурации компьютеров.


  

 

<Предыдущая | Содержание: | Следующая>

  

Лучшие облачные вычисления для ОС в OnWorks: