第 I 部分 身份验证 #
- 2 通过 PAM 进行身份验证
Linux 在身份验证进程中使用 PAM(可插拔身份验证模块)作为用户和应用程序之间的中间层。PAM 模块在整个系统范围内可用,因此任何应用程序都可以请求 PAM 模块。本章介绍模块化身份验证机制的工作原理和配置方法。
- 3 使用 NIS
当网络中的多个 Unix 系统都要访问公共资源时,所有用户和组身份对于该网络中的所有计算机而言是否相同就显得极其重要。网络应该对用户透明:不管用户使用哪台计算机,其环境都不应该有变化。可以通过 NIS 和 NFS 服务完成此操作。NFS 通过网络分发文件系统,详细信息请参见第 19 章 “通过 NFS 共享文件系统”。
NIS(网络信息服务)可以说是一种数据库式服务,用于跨网络访问
/etc/passwd
、/etc/shadow
和/etc/group
的内容。NIS 也可用于其他目的(如提供/etc/hosts
或/etc/services
之类文件的内容),但这里不作介绍。人们常把 NIS 称作 YP,也就是网络中的“电话黄页”。- 4 使用 YaST 设置身份验证客户端
Kerberos 用于身份验证,而 LDAP 用于授权和标识。两者可以配合工作。有关 LDAP 的详细信息,请参见第 5 章 “使用 389 Directory Server 的 LDAP”;有关 Kerberos 的详细信息,请参见第 6 章 “使用 Kerberos 进行网络身份验证”。
- 5 使用 389 Directory Server 的 LDAP
轻量级目录访问协议 (LDAP) 是设计用来访问和维护信息目录的协议。LDAP 可用于执行多种任务,例如用户和组管理、系统配置管理和地址管理。在 SUSE Linux Enterprise Server 15 SP5 中,LDAP 服务由取代了 OpenLDAP 的 389 Directory Server 提供。
- 6 使用 Kerberos 进行网络身份验证
Kerberos 是一个网络身份验证协议,同时还提供加密。本章介绍如何设置 Kerberos 以及集成 LDAP 和 NFS 等服务。
- 7 Active Directory 支持
Active Directory* (AD) 是一项基于 LDAP、Kerberos 和其他服务的目录服务。Microsoft* Windows* 使用它来管理资源、服务和人员。在 Microsoft Windows 网络中,Active Directory 会提供有关这些对象的信息,限制对其的访问,并强制执行策略。SUSE® Linux Enterprise Server 可让您加入现有的 Active Directory 域,并将您的 Linux 计算机集成到 Windows 环境中。
- 8 设置 freeRADIUS 服务器
RADIUS(远程身份验证拨入用户服务)协议一直以来都是用于管理网络访问的标准服务。它为大型企业(例如互联网服务提供商和手机网络提供商)提供身份验证、授权和统计 (AAA),在小型网络中应用也很广泛。它对用户和设备进行身份验证,授权这些用户和设备使用特定的网络服务,并跟踪服务的使用以进行计费和审计。您不需要使用全部三个 AAA 协议,只需使用所需的协议。例如,您可能不需要统计功能,而只需要客户端身份验证功能,或者,您可能只需要统计功能,客户端授权交由其他某个系统来管理。