linux系统用户认证及授权管理.pptxVIP

Linux系统用户认证与授权管理;什么是用户认证/权限 PAM认证机制 Kerberos认证协议 LDAP目录访问协议;出于系统安全考虑，Linux提供的安全机制主要有:身份标识与鉴别、文件访问控制、特权管理、安全审计、IPC资源的访问控制等。 直观上 认证是个过程，确定用户身份的过程，平常系统中的登录就是认证的过程。 权限是个概念，用来表示用户和系统资源之间的关系，可以描述为用户对资源的权限，用户经授权后，获得资源的访问权限。;用户;; PAM认证模块 Kerberos认证协议 LDAP目录访问协议 上述三种的任意组合 其它认证系统，如： PKI(Public Key Infrastructure）主要用于电子商务 Apache采用的mod—auth—xxxx模块 ;PAM（Pluggable Authentication Modules）是由Sun提出的一种认证机制。 它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。 最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS等。;应用程序开发者通过在服务程序中使用PAM API（Application Programming Interface应用编程接口）而实现对认证方法的调用； 系统管理员通过PAM配置文件来制定认证策略，即指定什么服务该采用什么样的认证方法； PAM服务模块（service module）的开发者则利用服务模块API来编写认证模块（主要是引出一些函数供libpam调用），将不同的认证机制（比如传统的UNIX认证方法、Kerberos等）加入到系统中；PAM核心库（libpam）则读取配置文件，以此为根据将服务程序和相应的认证方法联系起来。 ;PAM基本特点;PAM工作流程;什么是用户认证/权限 PAM认证机制 Kerberos认证协议 LDAP目录访问协议;Kerberos是为TCP/IP网络系统设计的可信的第三方认证协议。网络上的Kerberos服务基于DES（ Data Encryption Standard数据加密标准 ）对称加密算法，但也可以用其他算法替代。 目前应用最广泛的、基于可信任第三方的网络身份认证协议。 应用举例： 1.Windows2000和后续的操作系统都默认Kerberos为其默认认证方法。 2.苹果的Mac OS X使用了Kerberos的客户和服务器版本。 3.Red Hat Enterprise Linux4 和后续的操作系统使用了Kerberos的客户和服务器版本。 ;请求许可票据 返回许可票据 请求服务器票据 返回服务器票据 请求服务 ;单点响应：它需要中心服务器的持续响应。 当Kerberos服务结束前，没有人可以连接到服务器。这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。 Kerberos要求参与通信的主机的时钟同步。 票据具有一定有效期，因此，如果主机的时钟与Kerberos服务器的时钟不同步，认证会失败。默认设置要求时钟的时间相差不超过10分钟。在实践中，通常用网络时间协议后台程序来保持主机时钟同步。 管理协议并没有标准化。 在服务器实现工具中有一些差别。 一个危险客户机将危及用户密码。 因为所有用户使用的密钥都存储于中心服务器中，危及服务器的安全的行为将危及所有用户的密钥。;什么是用户认证/权限 PAM认证机制 Kerberos认证协议 LDAP目录访问协议;Lightweight Directory Access Protocol 最大的优势是：跨平台——可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录 免费 大多数LDAP安装简单，也容易维护和优化 数据存储特点：偏于读操作、??经常修改，有别于关系型数据库 作为目前广泛应用的目录访问协议，可以实现授权管理、网络用户管理、电子政务目录体系等服务。 其基于访问控制策略语句的访问控制列表ACL来实现访问控制与应用授权;LDAP协议模型/工作模式;基本数据单元是条目Entry，而每个条目由属性构成，属性中存储有属性值;LDAP中CN，OU，DC等的含义;An LDAP 目录类似于文件系统目录. 下列目录: DC=redmond,DC=wa,DC=microsoft,DC=com 如果我们类比文件系统的话，可被看作如下文件路径: Com\Microsoft\Wa\Redmond 例如：CN