第 I 部分 身份验证 #
- 2 通过 PAM 进行身份验证
Linux 在身份验证进程中使用 PAM(可插拔身份验证模块)作为用户和应用程序之间的中间层。PAM 模块在整个系统范围内可用,因此任何应用程序都可以请求 PAM 模块。本章介绍模块化身份验证机制的工作原理和配置方法。
- 3 使用 NIS
当网络中的多个 Unix 系统都要访问公共资源时,所有用户和组身份对于该网络中的所有计算机而言是否相同就显得极其重要。网络应该对用户透明:不管用户实际正在使用哪台计算机,其环境都不应该有变化。可以通过 NIS 和 NFS 服务完成此操作。NFS 通过网络分发文件系统,详细信息请参见 第 33 章 “通过 NFS 共享文件系统”。
NIS(网络信息服务)可以说是一种数据库式服务,用于跨网络访问
/etc/passwd
、/etc/shadow
和/etc/group
的内容。NIS 也可用于其他目的(如提供/etc/hosts
或/etc/services
之类文件的内容),但这里不作介绍。人们常把 NIS 称作 YP,也就是网络中的“电话黄页”。- 4 使用 YaST 设置身份验证客户端
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “LDAP with 389 Directory Server”;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证”。
- 5 LDAP with 389 Directory Server
The Lightweight Directory Access Protocol (LDAP) is a protocol designed to access and maintain information directories. LDAP can be used for tasks such as user and group management, system configuration management, and address management. In SUSE Linux Enterprise Server 15 SP2 the LDAP service is provided by the 389 Directory Server, replacing OpenLDAP.
- 6 使用 Kerberos 进行网络身份验证
Kerberos 是一个网络身份验证协议,同时还提供加密。本章介绍如何设置 Kerberos 以及集成 LDAP 和 NFS 等服务。
- 7 Active Directory 支持
Active Directory* (AD) 是一项基于 LDAP、Kerberos 和其他服务的目录服务。Microsoft* Windows* 使用它来管理资源、服务和人员。在 Microsoft Windows 网络中,Active Directory 会提供有关这些对象的信息,限制对其的访问,并强制执行策略。SUSE® Linux Enterprise Server 可让您加入现有的 Active Directory 域,并将您的 Linux 计算机集成到 Windows 环境中。
- 8 设置 FreeRADIUS 服务器
RADIUS(远程身份验证拨入用户服务)协议一直以来都是用于管理网络访问的标准服务。它为特大型企业(例如因特网服务提供商和手机网络提供商)执行身份验证、授权和统计 (AAA) 协议,在小型网络中应用也很广泛。它对用户和设备进行身份验证,授权这些用户和设备使用特定的网络服务,并跟踪服务的使用以进行计费和审计。您不需要使用所有三个 AAA 协议,而只需使用所需的协议。例如,您可能不需要统计功能,而只需要客户端身份验证功能,或者,您可能只需要统计功能,客户端授权交由其他某个系统来管理。