文件记录DHCP 客户端计算机通常使用 GUI 进行配置,该 GUI 配置 DHCPCD, DHCP 客户端守护进程。 如果您需要将您的机器配置为 DHCP 客户端,请检查您的系统文档。
10.3.9. 认证服务
10.3.9.1.传统
传统上,用户在本地进行身份验证,使用存储在 / etc / passwd文件 和
每个系统上的 /etc/shadow。 但即使在使用网络服务进行身份验证时,本地文件也将始终存在以配置系统帐户以供管理使用,例如 root 帐户、守护程序帐户以及通常用于其他程序和目的的帐户。
这些文件通常是黑客检查的第一个候选文件,因此请确保严格设置权限和所有权:
鲍勃:~> ls -l /etc/passwd /etc/影子
-rw-r--r-- 1 root root 1803 三月 10 13:08 /etc/passwd
-r-------- 1 root root 1116 三月 10 日 13:08 /etc/shadow
鲍勃:~> ls -l /etc/passwd /etc/影子
-rw-r--r-- 1 root root 1803 三月 10 13:08 /etc/passwd
-r-------- 1 root root 1116 三月 10 日 13:08 /etc/shadow
10.3.9.2. 聚丙烯酰胺
Linux 可以使用 PAM,即可插拔身份验证模块,这是一种灵活的 UNIX 身份验证方法。 PAM的优点:
• 可用于多种应用的通用身份验证方案。
• PAM 可以通过各种应用程序实现,而无需重新编译应用程序来专门支持 PAM。
• 管理员和应用程序开发人员对身份验证的极大灵活性和控制。
• 应用程序开发人员不需要开发他们的程序来使用特定的身份验证方案。 相反,他们可以完全专注于计划的细节。
目录 /etc/pam.d 包含 PAM 配置文件(以前是 /etc/pam.conf)。 每个应用程序或服务都有自己的文件。 文件中的每一行都有四个元素:
• 模块:
♦ AUTH: 提供实际的身份验证(可能要求并检查密码)并设置凭据,例如组成员身份或 Kerberos 票证。
♦ 帐户: 检查以确保允许用户访问(帐户未过期,允许用户在一天中的这个时间登录,等等)。
♦ 密码: 用于设置密码。
♦ 会议: 在用户通过身份验证后使用。 此模块执行允许访问所需的其他任务(例如,挂载用户的主目录或使他们的邮箱可用)。
模块堆叠的顺序非常重要,以便可以使用多个模块。
• 控制标志: 告诉 PAM 在失败或成功时采取哪些行动。 值可以是 必须, 必要条件, 足够 or 可选.
• 模块路径: 要使用的可插拔模块的路径,通常在 /库/安全.
• 参数: 模块信息
PAM 会自动检测影子密码文件。
更多信息可以在找到 PAM 手册页或在 Linux-PAM 项目主页上。
10.3.9.3。 LDAP
轻量级目录访问协议是一种客户端-服务器系统,用于通过网络访问全局或本地目录服务。 在 Linux 上,使用 OpenLDAP 实现。 这包括 拍打, 独立服务器; 啜饮,一个独立的LDAP复制服务器; 实现 LDAP 协议和一系列实用程序、工具和示例客户端的库。
使用 LDAP 的主要好处是可以整合组织内的某些类型的信息。 例如,您组织内的所有不同用户列表都可以合并到一个 LDAP 目录中。 任何需要此信息的启用 LDAP 的应用程序都可以查询此目录。 需要目录信息的用户也可以访问它。
其他 LDAP 或 X.500 Lite 的优点包括易于实施(与 X.500 相比)和
定义明确的应用程序编程接口 (API),这意味着未来支持 LDAP 的应用程序和 LDAP 网关的数量应该会增加。
不利的一面是,如果您想使用 LDAP,您将需要支持 LDAP 的应用程序或使用 LDAP 网关的能力。 虽然 LDAP 的使用应该只会增加,但目前可用于 Linux 的支持 LDAP 的应用程序并不多。 此外,虽然 LDAP 确实支持某些访问控制,但它没有 X.500 那么多的安全功能。
由于 LDAP 是一种开放且可配置的协议,因此它可用于存储与特定组织结构相关的几乎任何类型的信息。 常见的示例是邮件地址查找、与 PAM 结合的中央身份验证、电话目录和机器配置数据库。