当用户登录入 Red Hat Linux 系统,其用户名和口令的组合必须被校验或 验证(authenticated) 以判定他是否为有效的活跃用户。有时,用于校验用户的信息位于本地系统;有时,系统把验证推延给远程系统上的用户数据库。
验证配置工具 提供了配置 NIS、LDAP、和 Hesiod 来检索用户信息,以及把 LDAP、Kerberos、和 SMB 配置成验证协议的图形化界面。
注记:如果你在安装中或使用 安全级别配置工具 配置了中级或高级安全级别,或在 GNOME Lokkit 程序中选择了高级或低级安全,包括 NIS 和 LDAP 在内的网络验证方法就不被允许穿过防火墙。
本章并不详细解释每一种不同的验证类型,而解释了如何使用 验证配置工具 来配置这些验证类型。
要从桌面上启动图形化版本的 验证配置工具 ,选择面板上的 「主菜单」 => 「系统设置」 => 「验证」 ,或在 shell 提示下(如 XTerm 或 GNOME 终端 )键入 authconfig-gtk 命令。要启动基于文本的版本,在 shell 提示下键入 authconfig 命令。
重要:退出了验证程序后,改变会立即生效。
22.1. 用户信息 「用户信息」 标签上有几个选项。要启用选项,点击它旁边的空白复选箱。要禁用选项,点击它旁边的复选箱来清空它。点击 「确定」 来退出程序并应用改变。
图 22-1. 用户信息
以下的列表解释了每个选项所配置的项目:
「缓存用户信息」 — 选择该选项来启用名称服务缓存守护进程( nscd ),并配置它在引导时启动。
你必须安装了 nscd 软件包才能使这个选项奏效。
「启用 NIS 支持」 — 选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击 「配置 NIS」 按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。
你必须安装了 ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持, portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。
「启用 LDAP 支持」 — 选择这个选项来配置系统来通过 LDAP 检索用户信息。点击 「配置 LDAP」 按钮来指定 「LDAP 搜索基准 DN」 和 「LDAP 服务器」 。如果 「使用 TLS 来加密连接」 被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。
你必须安装 openldap-clients 软件包才能使这个选项奏效。
关于 LDAP 的更多信息,请参阅 《Red Hat Linux 参考指南》 。
「启用 Hesiod 支持」 — 选择这个选项来配置系统来从远程 Hesiod 数据库中检索信息,包括用户信息。
你必须要安装 hesiod 软件包。
22.2. 验证 「验证」 标签允许你配置网络验证方法。要启用选项,点击它旁边的空白复选箱。要禁用选项,点击它旁边的复选箱来清空它。
图 22-2. 验证
以下解释了每个选项所配置的项目:
「使用屏蔽口令」 — 选择这个选项来在 /etc/shadow 文件中而不是 /etc/passwd 文件把口令贮存为屏蔽口令格式。屏蔽口令在安装中被默认启用,它也是我们极力推荐你用来增加系统安全性的措施。
你必须安装了 shadow-utils 软件包才能使这个选项奏效。关于屏蔽口令的更多信息,请参阅 《Red Hat Linux 参考指南》 中的“ 用户和组群 ”这一章。
「使用 MD5 口令」 — 选择这个选项来启用 MD5 口令。它会允许长达 256 个字符的口令而不同是通常的少于八个字符的口令。该选择在安装中被默认选择,它也是我们极力推荐你用来增加系统安全性的措施。
「启用 LDAP 支持」 — 选择这个选项来让标准的启用 PAM 的应用程序使用 LDAP 来验证。点击 「配置 LDAP」 按钮来指定以下信息:
「使用 TLS 来加密连接」 — 使用传输层安全来加密要发送给 LDAP 服务器的口令。
「LDAP 搜索基准 DN」 — 通过它的识别名称(DN)来检索用户信息。
「LDAP 服务器」 — 指定 LDAP 服务器的 IP 地址。
你必须安装了 openldap-clients 软件包才能使这个选项奏效。关于 LDAP 的详情请参阅 《Red Hat Linux 参考指南》 。
「启用 Kerberos 支持」 — 选择这个选项来启用 Kerberos 验证。点击 「配置 Kerberos」 按钮来配置:
「领域」 — 配置 Kerberos 服务器的领域。领域是使用 Kerberos 的网络,由一个或多个 KDC,以及大量客户组成。
「KDC」 — 定义密钥分发中心(KDC)。它是分发 Kerberos 门票的机器。
「管理服务器」 — 指定运行 kadmind 的管理服务器。
你必须安装 krb5-libs 和 krb5-workstation 软件包才能使这个选项奏效。关于 Kerberos 的详情请参阅 《Red Hat Linux 参考指南》 。
「启用 SMB 支持」 — 该选项配置 PAM 使用 SMB 服务器来验证用户。点击 「配置 SMB」 按钮来指定:
「工作组」 — 指定要使用的 SMB 工作组。
「域控制器」 — 指定要使用的 SMB 域控制器。
22.3. 命令行版本 验证配置工具 还能够作为没有界面的命令行工具来运行。命令行版本可以被用在配置脚本或 kickstart 脚本中。验证选项在表 22-1 中被简略描述。
选项 描述 --enableshadow 启用屏蔽口令 --disableshadow 禁用屏蔽口令 --enablemd5 启用 MD5 口令 --disablemd5 禁用 MD5 口令 --enablenis 启用 NIS --disablenis 禁用 NIS --nisdomain= <domain> 指定 NIS 域 --nisserver= <server> 指定 NIS 服务器 --enableldap 为用户信息启用 LDAP --disableldap 为用户信息禁用 LDAP --enableldaptls LDAP 启用 TLS --disableldaptls LDAP 禁用 TLS --enableldapauth 验证启用 LDAP --disableldapauth 验证禁用 LDAP --ldapserver= <server> 指定 LDAP 服务器 --ldapbasedn= <dn> 指定 LDAP 基准 DN --enablekrb5 启用 Kerberos --disablekrb5 禁用 Kerberos --krb5kdc= <kdc> 指定 Kerberos KDC --krb5adminserver= <server> 指定 Kerberos 管理服务器 --krb5realm= <realm> 指定 Kerberos 领域 --enablesmbauth 启用 SMB --disablesmbauth 禁用 SMB --smbworkgroup= <workgroup> 指定 SMB 工作组 --smbservers= <server> 指定 SMB 服务器 --enablehesiod 启用 Hesiod --disablehesiod 禁用 Hesiod --hesiodlhs= <lhs> 指定 Hesiod LHS --hesiodrhs= <rhs> 指定 Hesiod RHS --enablecache 启用 nscd --disablecache 禁用 nscd --nostart 不要开始或停止 portmap 、 ypbind 和 nscd 服务,即便它们已经被配置 --kickstart 不要显示用户界面 --probe 探测和显示网络默认值 表 22-1. 命令行选项
窍门:这些选项还可以在 authconfig 的说明书(man)页或在 shell 提示下键入 authconfig --help 来找到。
