分享
 
 
 

浅析Linux的模块验证(2)

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

方案一:通过SMB的SSH

我们要建立的第一个方案将是经过调整的Linux服务器,这样通过安全外壳协议(SSH)连接至该服务器的任何服务都可以通过服务器消息块(SMB)进行验证,以便访问Windows服务器。虽然Windows NT 3.51、NT4、2000或XP服务器都可以,我们还是使用了微软的Windows 2000 Advanced Server。

虽然SSH协议使用口令或证书密钥用来验证,但SMB验证只使用口令。我们把口令用于SSH会话。如果使用证书,SMB验证就不会参与验证过程。你可以使用能够识别PAM的任何SSH服务器,不过我们推荐随同Red Hat 7.2交付、已经集成到里面的OpenSSH服务器。

为此,我们需要Red Hat Linux7.2系统默认状态下不包括的一个PAM模块(欲了解下载及编译该模块的信息,请见下面附文“PAM中的Windows Domain验证”以及SMB口令发问/应答验证)。

“通过SMB口令发问/应答的SSH服务验证”显示了我们的设置。在Linux SSH服务器上,确保通过运行rpm -q openssh openssh-server指令来安装SSH服务器,指令输出结果应该如下:

openssh-2.9p2-7

openssh-server-2.9p2-7

版本号会有所不同。

只要编辑/etc/ssh/sshd_config文件,就可以配置SSH服务器,不过默认值应该可以接受。SSH协议使用口令或证书密钥用于验证。就这个例子而言,我们想要使用口令,但这也是SSH的默认值。

我们安装并配置了pam_smb,然后编辑/etc/pam.d/sshd,以便内容类似“修改后的SSHD PAM配置”图(这样做只须添加一行,即最上头的auth行)。

修改后的SSHD PAM配置

我们指示PAM系统:如果出现SSH连接,应该首先利用SMB验证来证实SSH用户。如果Windows域接受提供的用户名/口令对,就允许用户访问。如果禁止,就根据系统验证配置进行验证。要是这也失败,就拒绝用户访问。SSH服务器经配置后,使用pam_smb模块作为验证的规则。

最后,我们要为Linux服务器和Windows域添加用户。这种解决方案显然存在一个不足:我们提供的是企业可伸缩验证机制,而不是企业可伸缩帐号管理机制。

我们必须设法确保:对Windows域的每个用户而言,Linux服务器上的是同一用户(见下面的附文“面向Unix的Windows 2000服务”)。我们将利用Windows上的User Manager、在Linux上运行useradd手工添加用户。你要为Windows域中的新用户帐号提供口令,但可能不需要为Linux帐号提供口令,因为该口令无法与Windows域口令保持同步。然而如果有Linux口令,可以作为应付万一Windows域拒绝口令的一种退路。

用户通过SSH连接到Linux服务器后,用户的客户软件就会发送口令到服务器(通过加密隧道)。服务器连接到主域控制器(PDC)或后备域控制器(BDC),并要求名为SMBNegProt请求的验证协商。作为对SSH服务器的响应,PDC会发出SMBNegProt响应,里面包括口令发问。SSH服务器利用从用户处收到的口令,对SMBsesssetupX请求中的口令发问作出响应。

如果用户在SSH连接开始时提供的口令与用户在Windows域中的一模一样,PDC就会发出确认性的SMBsesssetupX响应。SSH服务器收到确认性响应后,许可用户通过SSH继续登录到Linux服务器。口令永远不会以明文格式传输。

方案二:通过Active Directory/Kerberos的POP/IMAP

第二个方案就是配置Linux服务器,以便经由邮局协议(POP)或因特网消息访问协议(IMAP)电子邮件服务连接到Linux服务器的任何用户都可以通过Kerberos安全系统进行验证,从而访问Windows服务器。这使你可以在Windows域中建立Linux服务器从而使用电子邮件,而不需要购买基于Windows的电子邮件解决方案。几种电子邮件客户软件如微软的Outlook Express、网景的Messenger和高通的Eudora都可以进行配置,以便Linux服务器用于管理出站和入站电子邮件。这些客户软件甚至可以通过SSL与Linux服务器通信,确保口令的保密性。这只适用于Windows Active Directory域。"通过Kerberos的POP服务验证"图显示了我们的配置。

通过Kerberos的POP服务验证

注意:通过Active Directory/Kerberos域验证SSH连接,这完全同通过SMB域验证POP和IMAP连接一样简单。其实,其它任何验证机制同样简单(这体现了PAM的最终价值)。你恐怕需要以同样的机制验证Linux服务器提供的所有服务,无论是面向Windows 200以前版本的域的SMB验证,还是面向Windows 2000 Active Directory或面向Kerberos域的Active Directory/Kerberos验证。

为此,我们需要名为pam_krb5的另一个PAM模块。为了确保它安装在Red Hat Linux 7.2系统上,请运行rmp -q pam_krb5命令,应该会得到结果:pam_krb5-1.46-1。

然后我们要配置Linux服务器上的Kerberos,但首先需要一些信息。我们必须知道密钥分配中心(KDC),它含有Windows PDC的名字或IP地址。为了方便,我们把KDC命为pdc.domain.net。要是DNS服务器安全受危及,你会希望使用KDC的IP地址。我们还使用DNS服务器作为Kerberos管理服务器。

我们还要知道区域名。区域相当于Windows Active Directory名的Kerberos,而Active Directory名又往往是DNS域名。Active Directory名并不总是与DNS域名一样,但在PDC启动时赞成使用。为了方便,区域取名为DOMAIN.NET(区域必须大写)。

有了这些信息,可以编辑/etc/krb5.conf文件,该文件里面含有多个分段。每个分段用形式为[section_name]的分段名字符串加以描述。/etc/krb5.conf文件的分段数可能多于这里所列示的。如果这样的话,多余分段不用去管。修改或增添相应分段,以便内容类似“Linux服务器上的/etc/krb5.conf设置”。

Linux服务器上的/etc/krb5.com设置

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有