<ก่อนหน้านี้ | Contents | ถัดไป>
โดยปกติ เครื่องไคลเอ็นต์ DHCP จะได้รับการกำหนดค่าโดยใช้ GUI ที่กำหนดค่า dhcpcd, ดีมอนไคลเอ็นต์ DHCP ตรวจสอบเอกสารระบบของคุณหากคุณต้องการกำหนดค่าเครื่องของคุณเป็นไคลเอ็นต์ DHCP
10.3.9. บริการตรวจสอบสิทธิ์
10.3.9.1. แบบดั้งเดิม
ตามเนื้อผ้า ผู้ใช้จะได้รับการตรวจสอบสิทธิ์ในเครื่องโดยใช้ข้อมูลที่จัดเก็บไว้ใน / etc / passwd และ
/etc/shadow ในแต่ละระบบ แต่ถึงแม้จะใช้บริการเครือข่ายเพื่อรับรองความถูกต้อง ไฟล์ในเครื่องก็จะแสดงอยู่เสมอเพื่อกำหนดค่าบัญชีระบบสำหรับการใช้งานด้านการดูแลระบบ เช่น บัญชีรูท บัญชี daemon และมักใช้บัญชีสำหรับโปรแกรมและวัตถุประสงค์เพิ่มเติม
ไฟล์เหล่านี้มักเป็นตัวเลือกแรกสำหรับการตรวจสอบโดยแฮกเกอร์ ดังนั้นตรวจสอบให้แน่ใจว่าได้ตั้งค่าการอนุญาตและความเป็นเจ้าของอย่างเคร่งครัดตามที่ควรจะเป็น:
บ๊อบ:~> ls -l /etc/passwd /etc/shadow.l
-rw-r--r-- 1 รูทราก 1803 10 มี.ค. 13:08 /etc/passwd
-r -------- 1 รูทรูต 1116 10 มี.ค. 13:08 /etc/shadow
บ๊อบ:~> ls -l /etc/passwd /etc/shadow.l
-rw-r--r-- 1 รูทราก 1803 10 มี.ค. 13:08 /etc/passwd
-r -------- 1 รูทรูต 1116 10 มี.ค. 13:08 /etc/shadow
10.3.9.2. แพม
Linux สามารถใช้ PAM ซึ่งเป็น Pluggable Authentication Module ซึ่งเป็นวิธีการที่ยืดหยุ่นในการพิสูจน์ตัวตน UNIX ข้อดีของ PAM:
• รูปแบบการรับรองความถูกต้องทั่วไปที่สามารถใช้ได้กับแอพพลิเคชั่นที่หลากหลาย
• PAM สามารถนำไปใช้กับแอปพลิเคชันต่างๆ ได้โดยไม่ต้องคอมไพล์แอปพลิเคชันใหม่เพื่อรองรับ PAM โดยเฉพาะ
• มีความยืดหยุ่นสูงและควบคุมการตรวจสอบสิทธิ์สำหรับผู้ดูแลระบบและผู้พัฒนาแอปพลิเคชัน
• ผู้พัฒนาแอปพลิเคชันไม่จำเป็นต้องพัฒนาโปรแกรมเพื่อใช้รูปแบบการรับรองความถูกต้องโดยเฉพาะ พวกเขาสามารถมุ่งความสนใจไปที่รายละเอียดของโปรแกรมแทนได้
ไดเรกทอรี /etc/pam.d มีไฟล์การกำหนดค่า PAM (เคยเป็น /etc/pam.conf). แอปพลิเคชันหรือบริการแต่ละรายการมีไฟล์ของตัวเอง แต่ละบรรทัดในไฟล์มีสี่องค์ประกอบ:
• โมดูล:
♦ รับรองความถูกต้อง: ให้การรับรองความถูกต้องจริง (อาจขอและตรวจสอบรหัสผ่าน) และตั้งค่าข้อมูลประจำตัว เช่น การเป็นสมาชิกกลุ่มหรือตั๋ว Kerberos
♦ บัญชี: ตรวจสอบเพื่อให้แน่ใจว่าผู้ใช้อนุญาตให้เข้าถึงได้ (บัญชียังไม่หมดอายุ ผู้ใช้ได้รับอนุญาตให้เข้าสู่ระบบในช่วงเวลานี้ของวัน เป็นต้น)
♦ รหัสผ่าน: ใช้เพื่อตั้งรหัสผ่าน
♦ เซสชั่น: ใช้หลังจากผู้ใช้ได้รับการพิสูจน์ตัวตนแล้ว โมดูลนี้ทำงานเพิ่มเติมที่จำเป็นในการอนุญาตการเข้าถึง (เช่น ติดตั้งโฮมไดเร็กทอรีของผู้ใช้หรือทำให้เมลบ็อกซ์พร้อมใช้งาน)
ลำดับการซ้อนโมดูลเพื่อให้สามารถใช้หลายโมดูลได้นั้นสำคัญมาก
• ธงควบคุม: บอก PAM ว่าต้องดำเนินการใดเมื่อล้มเหลวหรือสำเร็จ ค่าสามารถ จำเป็นต้องใช้, จำเป็น, เพียงพอ or ไม่จำเป็น.
• เส้นทางโมดูล: พาธไปยังโมดูลแบบเสียบได้ที่จะใช้ โดยปกติใน /lib/ความปลอดภัย.
• ข้อโต้แย้ง: ข้อมูลสำหรับโมดูล
PAM ตรวจพบไฟล์รหัสผ่านเงาโดยอัตโนมัติ
ข้อมูลเพิ่มเติมสามารถพบได้ใน แพม หน้าคนหรือที่โฮมเพจโครงการ Linux-PAM
10.3.9.3. แอลดีเอพี
Lightweight Directory Access Protocol คือระบบไคลเอ็นต์-เซิร์ฟเวอร์สำหรับเข้าถึงบริการไดเรกทอรีส่วนกลางหรือในเครื่องผ่านเครือข่าย บน Linux การใช้งาน OpenLDAP จะถูกใช้ ประกอบด้วย ตบ, เซิร์ฟเวอร์แบบสแตนด์อโลน; สลบเซิร์ฟเวอร์การจำลองแบบ LDAP แบบสแตนด์อะโลน ไลบรารีที่ใช้โปรโตคอล LDAP และชุดยูทิลิตี้ เครื่องมือ และไคลเอนต์ตัวอย่าง
ประโยชน์หลักของการใช้ LDAP คือการรวมข้อมูลบางประเภทภายในองค์กรของคุณ ตัวอย่างเช่น รายชื่อผู้ใช้ที่แตกต่างกันทั้งหมดภายในองค์กรของคุณสามารถรวมเป็นไดเร็กทอรี LDAP เดียวได้ ไดเร็กทอรีนี้สามารถสอบถามโดยแอปพลิเคชันที่เปิดใช้งาน LDAP ที่ต้องการข้อมูลนี้ นอกจากนี้ยังสามารถเข้าถึงได้โดยผู้ใช้ที่ต้องการข้อมูลไดเรกทอรี
ประโยชน์ของ LDAP หรือ X.500 Lite อื่นๆ ได้แก่ ความง่ายในการใช้งาน (เทียบกับ X.500) และ
Application Programming Interface (API) ที่กำหนดไว้อย่างดี ซึ่งหมายความว่าจำนวนแอปพลิเคชันที่เปิดใช้งาน LDAP และเกตเวย์ LDAP จะเพิ่มขึ้นในอนาคต
ในด้านลบ หากคุณต้องการใช้ LDAP คุณจะต้องใช้แอปพลิเคชันที่เปิดใช้งาน LDAP หรือความสามารถในการใช้เกตเวย์ LDAP แม้ว่าการใช้ LDAP ควรเพิ่มขึ้นเท่านั้น แต่ในปัจจุบันยังไม่มีแอปพลิเคชันที่เปิดใช้งาน LDAP สำหรับ Linux มากนัก นอกจากนี้ แม้ว่า LDAP จะสนับสนุนการควบคุมการเข้าถึงบางอย่าง แต่ก็ไม่มีคุณลักษณะด้านความปลอดภัยมากเท่ากับ X.500
เนื่องจาก LDAP เป็นโปรโตคอลแบบเปิดและกำหนดค่าได้ จึงสามารถใช้เพื่อจัดเก็บข้อมูลเกือบทุกประเภทที่เกี่ยวข้องกับโครงสร้างองค์กรเฉพาะ ตัวอย่างทั่วไป ได้แก่ การค้นหาที่อยู่อีเมล การตรวจสอบสิทธิ์ส่วนกลางร่วมกับ PAM ไดเรกทอรีโทรศัพท์ และฐานข้อมูลการกำหนดค่าเครื่อง