如今,更多的企业需要支持桌面Linux用户,尤其是名为高级用户(power user)的那类员工。Linux曾经是离经叛道的一种平台。尽管与一系列众多的网络与服务验证和访问机制兼容,并且能与微软Windows、Unix和Apple Macintosh等平台共享文件,但这种互操作性不是非常重要的一个因素。
形势在变化。对企业环境的那些Linux用户而言,能够安全地与其他Linux用户和Windows用户共享文件仍意味着要为Linux记住一组口令,还要为其它平台记住一组口令。但现在有种比较好的办法:你可以将系统配置成Linux用户能够获得依托Windows NT Domain的安全验证。这样一来,用户就不需要Linux帐号和另一个NT Domain帐号。这将简化网络管理员的日常工作,使高级用户更满意。
验证与帐号管理
验证就是系统确认用户身份的过程。访问控制确定通过验证后允许什么。验证常与帐号联系在一起。所谓帐号一般就是与独特标识符相关的一系列信息。这种信息通常包括允许人们使用系统资源所需的数据。譬如,它提供了用户个人文件的位置或者是用户的实名。它可能包括环境变量和资源极限。我们主要着重于验证服务和协议。
大多数新版本Linux使用了插入式验证模块(PAM),这是灵活验证的关键所在。PAM是一种ASP,目的在于使验证用户从而访问服务的过程模块化。它由Sun公司开发而成,应用于最新版本的Sun Solaris、IBM AIX、HP HP-UX和Apple Mac OS X,不过与各种免费操作系统结合使用最为广泛,包括Linux(尤其是Red Hat、Debian和SuSE)、FreeBSD和NetBSD。
用于Red Hat的PAM
我们将利用PAM系统介绍如何利用许多验证资源进行验证。但首先,不妨概述一下安装在Red Hat Linux 7.2系统上的PAM(同样技术应该适用于能够识别PAM的各种系统)。
任何服务都可以使用PAM进行验证。服务只是代表用户进行验证应用的另一个名称而已,譬如login、FTP和POP。注意:若要使用PAM,必须专门编写服务。在Red Hat 7.2上,进行验证的所有应用都使用PAM。通过检查是否使用PAM库(libpam),就可以查明特定的可执行程序(如远程登录服务用来核查用户身份的login)是否可以使用PAM,方法就是输入“PAM库检查”图中所示的命令。注意:第二行就是指libpam。
PAM库检查
不过使问题稍稍复杂的是:即使某一应用可以通过PAM验证,不是说非这样不可,应用可以把这项功能作为配置选项。Samba和Apache都提供这功能,但并不一定要求使用PAM。
对每种服务而言,/etc/pam.d/目录下有一个文件。该文件包含了这项服务如何获得验证和帐号信息的规则即指令,每行一条规则。"PAM服务配置样本"图显示了文件内容。
PAM服务配置样本
第三列的模块就是能够识别PAM的库,它可以实现某种验证机制。可选的第四列提供了验证模块变元。变化具有模块特定性,即随模块的不同而不同。模块就是执行用来确定规则允许还是拒绝访问的一种程序。
PAM有四种模块:auth(验证)、account(帐号)、password(口令)和session(会话)。auth表明如果服务试图对用户进行验证,就要用到这行。如果服务需要帐号信息如userid,就要用到account。如果服务要改变用户的口令,就要用到password。就在用户登录之前、用户退出之后的瞬间,服务要用到session。这便于生成审查日志,但也可以用来建立各种环境参数或者装上网络磁盘驱动器。允许每一种模块多次出现,但要按顺序,除非其中一行有requisite的控制标志。
控制标志有四种:requisite(必需)、required(要求)、sufficient(足够)和optional(可选)。requisite表明如果这条规则失败,就立即拒绝访问。required表明如果这规则失败,就拒绝访问,但继续为这类模块试用其余规则。sufficient表明如果这规则成功,允许访问;但如果失败,退回到另一个规则。optional则表明忽视该规则的结果,除非这类模块没有其它规则。optional通常用于同验证用户无关的额外配置(这种情形下,我们并不关心配置是否失败)。
这些控制标志可能混淆不清。至于验证,它要求使用pam_unix PAM模块。该模块的变元允许空口令,指示系统使用MD5密码散列而不是简单的Unix crypt()散列,并使用影子口令(shadow password)系统。由于对验证而言这是唯一的一种模块,所以关于是否允许用户登录,它有最终决定权。
至于帐号信息,pam_unix模块再次用到。它被标为sufficient,所以如果模块能够确定用户帐号,就停止处理。如果失败,PAM系统继续进行,并试用下一条帐号规则。这个被标为required,并使用pam_deny模块。该模块总是拒绝访问,所以倘若第一条规则无法确定用户的帐号信息,用户就被拒绝访问。更改口令的例子类似于帐号信息例子。
至于确定会话要求,最后一个例子有两个属于required的规则。两个模块都要正确执行,才能允许用户会话。
PAM模块位于Red Hat Linux 7.2上的/lib/security/目录内。有些模块具有多功能,原因在于它们可以为不止一种类型的模块提供机制。另一些只为单一类型提供机制。为了获得更大的灵活性,pam_stack模块为系统管理员配置多种服务以便统一验证提供了一种方法。该模块广泛应用于Red Hat Linux 7.2(见"默认登录配置")。
默认登陆配置
注意:针对每个类型的每条规则需要pam_stack模块,并为其提供了service=system-auth变元。这实际上是说“跳到system-auth PAM配置”,该配置可在/etc/pam.d/system-auth找到。所以如果登录程序试图验证用户,首先它会运行pam_security模块,进行检查,确保用户通过可信控制台登录(登录程序通常使用明文口令)。如果这样的话,它就跳到放在/etc/pam.d/system-auth的配置,如“默认系统验证配置”所示。
默认系统验证配置
使用这种系统验证配置进行验证的服务首先都将运行pam_env模块,以建立各种环境变量或检查某些先决要求。因为pam_env被标为required,系统必须报告成功(通常是这样,除非出现灾难性问题,譬如用户主目录丢失)。然后服务会运行pam_unix模块,提供类似Unix /etc/passwd的传统验证。因为pam_unix被标为sufficient,如果配置返回成功的结果,PAM就认可用户通过验证。不然,系统会进入到始终拒绝访问的pam_deny模块。
使用这种系统验证配置获得帐号信息的服务也都将运行pam_unix,不过这回是确定用户名、用户身份号、组成员关系及类似Unix/etc/passwd的其它传统信息。该模块被标为required,不过因为是唯一的帐号行,它在默认状态下属于required。
使用这种系统验证配置更改口令的服务首先将预期口令交由pam_cracklib模块控制,后者检查口令的强度。由于被标为required,如果模块拒绝口令,服务就被禁止更换口令。此后,预期口令传给pam_unix,它会更新传统的Unix /etc/passwd文件。如果此举失败,就拒绝更改口令。
