документація<Попередній | зміст | Наступна>
Клієнтські машини DHCP зазвичай налаштовуються за допомогою графічного інтерфейсу, який налаштовує dhcpcd, демон клієнта DHCP. Перевірте системну документацію, якщо вам потрібно налаштувати комп’ютер як клієнт DHCP.
10.3.9. Послуги аутентифікації
10.3.9.1. традиційний
Традиційно автентифікація користувачів проходить локально, використовуючи інформацію, збережену в / etc / passwd та
/etc/shadow у кожній системі. Але навіть під час використання мережевої служби для аутентифікації локальні файли завжди будуть присутні для налаштування системних облікових записів для адміністративного використання, таких як обліковий запис root, облікові записи демона і часто облікові записи для додаткових програм і цілей.
Ці файли часто є першими кандидатами на перевірку хакерами, тому переконайтеся, що дозволи та права власності строго встановлені, як це має бути:
Боб:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- 1 кореневий корінь 1803, 10 березня 13:08 /etc/passwd
-r-------- 1 кореневий корінь 1116 10 березня 13:08 /etc/shadow
Боб:~> ls -l /etc/passwd /etc/shadow
-rw-r--r-- 1 кореневий корінь 1803, 10 березня 13:08 /etc/passwd
-r-------- 1 кореневий корінь 1116 10 березня 13:08 /etc/shadow
10.3.9.2. ПАМ
Linux може використовувати PAM, Pluggable Authentication Module, гнучкий метод аутентифікації UNIX. Переваги PAM:
• Загальна схема аутентифікації, яку можна використовувати з широким спектром додатків.
• PAM можна реалізувати з різними програмами без необхідності перекомпілювати програми для спеціальної підтримки PAM.
• Велика гнучкість і контроль над автентифікацією для адміністратора та розробника програми.
• Розробникам додатків не потрібно розробляти свою програму для використання певної схеми аутентифікації. Натомість вони можуть зосередитися виключно на деталях своєї програми.
Каталог /etc/pam.d містить файли конфігурації PAM (раніше /etc/pam.conf). Кожна програма або служба має власний файл. Кожен рядок у файлі містить чотири елементи:
• Модулі:
♦ авт: забезпечує фактичну автентифікацію (можливо, запитує та перевіряє пароль) і встановлює облікові дані, такі як членство в групі або квитки Kerberos.
♦ рахунок: перевіряє, чи дозволено доступ для користувача (термін дії облікового запису не закінчився, користувач може ввійти в цей час доби тощо).
♦ пароль: використовується для встановлення паролів.
♦ Сесія: використовується після автентифікації користувача. Цей модуль виконує додаткові завдання, необхідні для надання доступу (наприклад, підключення домашнього каталогу користувача або надання доступу до його поштової скриньки).
Дуже важливим є порядок, у якому модулі укладаються, щоб можна було використовувати декілька модулів.
• Контрольні прапори: скажіть PAM, які дії слід зробити у разі невдачі чи успіху. Значення можуть бути вимагається, необхідний, достатній or необов'язковий.
• Шлях до модуля: шлях до вставного модуля, який буде використовуватися, зазвичай в /lib/security.
• Аргументи: інформація для модулів
Файли тіньових паролів автоматично виявляються PAM.
Більш детальну інформацію можна знайти в РАМ man-сторінок або на домашній сторінці проекту Linux-PAM.
10.3.9.3. LDAP
Lightweight Directory Access Protocol — це клієнт-серверна система для доступу до глобальних або локальних служб каталогів через мережу. У Linux використовується реалізація OpenLDAP. Це включає ляпас, автономний сервер; slurpd, автономний сервер реплікації LDAP; бібліотеки, що реалізують протокол LDAP і серію утиліт, інструментів і зразків клієнтів.
Основною перевагою використання LDAP є консолідація певних типів інформації у вашій організації. Наприклад, усі різні списки користувачів у вашій організації можна об’єднати в один каталог LDAP. Цей каталог можуть запитувати будь-які програми з підтримкою LDAP, яким потрібна ця інформація. До нього також можуть отримати доступ користувачі, яким потрібна інформація каталогу.
Інші переваги LDAP або X.500 Lite включають простоту впровадження (у порівнянні з X.500) і
чітко визначений інтерфейс програмного забезпечення (API), що означає, що кількість програм із підтримкою LDAP і шлюзів LDAP в майбутньому має зрости.
З іншого боку, якщо ви хочете використовувати LDAP, вам знадобляться програми з підтримкою LDAP або можливість використовувати шлюзи LDAP. Хоча використання LDAP має лише зростати, наразі для Linux доступних не так багато програм із підтримкою LDAP. Крім того, хоча LDAP підтримує певний контроль доступу, він не володіє такою кількістю функцій безпеки, як X.500.
Оскільки LDAP є відкритим протоколом, який можна конфігурувати, його можна використовувати для зберігання практично будь-якого типу інформації, що стосується певної організаційної структури. Типовими прикладами є пошук поштової адреси, центральна аутентифікація в поєднанні з PAM, телефонні довідники та бази даних конфігурації машини.