TheLinux-PAM系统管理员指南.doc资源-CSDN文库

版权申诉

149 浏览量 2022-06-25 10:40:21 上传评论收藏 172KB DOC 举报

资源推荐

资源详情

资源评论

系统管理员指南

作者

翻译孙国清 !

"#$%&'(()))*((*+这个文档所涉的是系统管理员须知的关于  库

的知识它涉及了设置  的正确语法并讨论维护一个可靠系统的正确的策略

(介绍

 下的可插入式认证模组是一套共享函数库允许系统管理员来决

定应用程式如何识别用户

换句话说就是用不着重写和重新编译一个支援  的程式就可以切换它所用的认

证机制你可以整个的升级你的认证系统而不用去管应用程式本身

传统上当一个应用程序有身份识别的需求它就不得不把某一种验证算法写进去例如

就传统的 ,-./ 系统而言核对使用者身份的方法就是要求用户输入正确的密码这密

码除了开头的两个字符作为0 0剩下的是加密过的经由 1!2 3接著用户被验

证这个加密过的密码是否与他在密码档就是* 1*2 文件中他的那笔记录的第

二栏相符在这样的系统里绝大部份权限的授予是基于这种单一的认证机制权限决定

于个人的识别码和不同群组的成员服务和程式是否可用由个人和群组的识别码决

定传统上群组关系经由* 1*2 文件中的记录来赋予

不幸的是随着计算机速度的不断提高再加上满世界的关于网路计算的介绍使得象这

样曾是安全的验证机制变得易受攻击了面对这样的现实新的验证方法正在持续的开

发中

 项目的目标是把赋权部分的开发以可靠的合适的鉴定模式从软件中分离出

来。这目标已经通过提供一组库函数实现了，应用程序可以用这些函数来请求验证某

个用户。这个 由特定的系统文件配置* 1*214或者是在* 1*2*里

的一系列配置文件以经由特定的可用的认证模组来鉴定某个用户的请求。这些个模

组通常位于**5*1 ! 目录并且以可动态加载的目标文件的形式出现参见

23

6文中的说明

在继续阅读之前请记住本文假定提到的文件位于默认的目录。这个默认的目录我们遵

循 #$7#$7+8&见 552!中的约定。如果你正用一个支持  但是却选

择以不同的方式发布这些文件的发布版的 或是其他的 9#: 就是这样

的发布版那你从文章中直接拷贝例子的时候就要注意一下了

举个例子 21 本文假定  可加载目标文件就是模块位于这个

目录**5*1 !*可是#: 为遵循  文件系统标准 

$-"把这些文件放在*5*1 !在使用本文的例子时请小心的做一些转换的

工作。

3概观

$   ，我们开始于考虑一个例子。我们来说说一个应用程序提供一些

服务给用户； 就是这样的程序。 做两件事，它首先确认提出请求的用户

正是他们自己，第二步提供给他们所请求的服务：就  而言服务即是一个命令行

外壳（1）如 5， 1，; 之类。以这个用户的身份去跑。

传统上，前一个步骤通过  提示用户输入密码然后确认系统是否同意登入；接着

确认（就系统而言）用户确实是提出要求的那人。这类工作就是  的典型应

用。

从应用程序员的角度看（在这个例子里就是写  程序的人），  处理认

证的工作——确认用户的身份。

 的弹性在于，你，系统管理员有权来决定实施怎样的验证方案。你有权来

设定你的系统里的任何支持  的应用程序的验证方案。就是说，你可以将验证方案

设计成单纯的信任<=任何人（2>2 ）到像偏执狂似的通过视网膜扫描，声音

识别和一个密码！

举例说明你所面对的弹性，考虑以下情形：系统管理员（家中的父母）希望提高他的

使用者（孩子们）的算术能力。她可以设置他们喜欢玩的“ ?2@（游戏，当

然得支持 ）通过提问小于 (6 的一对随机数的乘积的办法来进行认证。很明显不

管游戏本身如何，他们会很快学会乘法表。等他们再大些，认证可以升级到包括多位

除法！（译者：我已经准备用这种办法来教我宝贝女儿学加减乘除了。）

 处理四种独立的（管理）工作。它们是：认证管理；帐号管理；会话期

间管理；和密码管理。 1 4 24 1

  5%4221    % 

1A A管理的功能由配置文件中指定的模块来完成。这文

件的语法在 5 部分讨论。

下面的插图描述了  的整个组织结构。

BBBBBBCC

BBBBBBD221 /D

BBBBBBCCBBBB*BBCCBBBBCEEEEEEEEEEEEEEEEC

BBBBBBD  1 F<=GHBBDID1AAD

BBBBBBDBBBBCBBBBBBFI*HBBBBBBBBDBBBBDEEEEEEEEEEEEEEEED

BBBBBBDF1% HFCBBGBBDBBBBBBDBBBBD/ D

BBBBBBCCBBDBB*BBCCBBBBD/ 5D

BBBBBBDBBBBBBBBBBDBBDBBBB>>DBBDBBBBBBBBDBBBBBBBB>>>>>*

BBBBBBDBB%1BBDBBBBBBDBBBBDBBBBBBBBD>>>>?

BBBBBBDBBBBBBBBBBDBBDBBBBJBBBBBBBBBBBBBBBBBBBB

BBBBBBCCBBCDDCCC

BBBBBBBBBBBBBBBBBBBBBBCCBBDBBBBDBBBBD

BBBBBBBBBBBBBBBBBBBBBBDBB BBDFHF5HF1H

BBBBBBBBBBBBBBBBBBBBBBCC

BBBBBBBBBBBBBBBBBBBBBBDBB11 BBDF5HFH

BBBBBBBBBBBBBBBBBBBBBBCC

BBBBBBBBBBBBBBBBBBBBBBDBB2BBDF5HF1H

BBBBBBBBBBBBBBBBBBBBBBCC

BBBBBBBBBBBBBBBBBBBBBBDBBBBDFHF1H

BBBBBBBBBBBBBBBBBBBBBBCC

K!!42 图的左边表示一个应用程序/这应用程序有和 

库的接口并且在认证方面没有什么特别之处函数库 图的中部查

询  配置文件的内容并且装入适用于程序 /的模块这些模块进入四个管理组图

的中下部中的一个并且以它们出现在配置文件中的顺序堆叠起来 这些模组由

 呼叫后为应用程序执行不同的认证工作 需要用户提供或提供给用户的文

本信息可以通过使用应用程序提供的 1%  函数来交换

3(   

以下段落由  7 供稿

到现在为止我们描述了  如何工作在一个理想世界里

在这儿所有应用程序都被正确编写

然而到此时())+ 年 (& 月这距离现实还太远

因此在你试图把  用于你的系统时还得考虑一些实际因素

L!5  !   5MBB

如果你运行  作为单用户系统或者在一个所由用户都可信任的环境那么用 

就没什么实际优势

N事实上还是有一个好处你可以令认证变哑就象没有任何认证像 L)O

在网络环境里很显然关于用户你必需多想点 1  !  

 5  1  1 H

如果运行  作为服务器提供一些不同的服务 经由密码控制的 LLL 区域

限制

那  就有一些实际的和有趣的价值尤其是通过使用使用模块能够使

一个程序经过几个不同的密码库来查找哪怕那个程序没有专为那密码库写的代码

下面有一些例子 :24 25 

  5

BBBB21有一个模块提供  服务BB认证特定的目录权限可以让  来控制，

BBBB这意味着，所有  能调用的模块都可以被 21 使用，包括

#"P,-P-7

BBBB-7 用来经由 -% 的密码库认证

BBBB222有一个  化了的版本来自 #: BB现在有可能用一系列的数据库来

验证

BBBB222 用户作为对基于  的密码库* 1*2* 1*的扩充你可

以

BBBB用  模块来进行基于 -% 密码库或 --密码库的认证

BBBB以上两则例子可以有组合应用想象一下你办公室*部门的用户已经经过用户名*密

码

BBBB认证登入 -% 或 -如果你想要他在  下的应用也用相同的用户名*密码

BBBB为  登入5 服务或者只是普通的  登入你可以通过  进行基于这

些已

BBBB存在的数据库译者注-% 的或者 - 的的用户认证而无须在  和 -

服务器里

BBBB各自维护独立的数据库

我可以让所有需要有用户认证的程序都来用  吗M

有的可以有的不行可以的是那些你能得到源代码并且可以加入适当的  函数的程

序

不行的是那些你无法得到源代码并且可执行程序没有加入  的功能

也就是说如果一个程序打算要用 那么它必须在程序里直接的包含  函数

不这样做就不可能用 

我怎么知道程序是否已经含有  的代码了呢M

一个快速的但不总是可靠的方法是执行 I程序<=

如果 52和 52>1不在程序所需的函数库之列那么它将不会用 

然而这两个函数库还是可能已经包含进程序了不过问题依然存在因为把 

写死在程序不会如你期望的工作所以一个更可靠的方法是做一下的测试

在* 1*2 目录里需要为程序设有一个配置文件具体的文件名是写死在程序里的

通常和程序名一样但却不总是这样为举例说明假设程序名字叫0220配置文件

是* 1*2*22

在* 1*2*22 里写这两行

 BBQBB2>2 

 BBQBB2>

现在试着执行 22配置文件的第一行是说所有用户都被允许第二行会在你的

!文件或者其它你的 ! 会写的文件里写一个 

如果这测试是成功的那么你就知道你有一个0懂02 的程序并且你可以开始更有趣

的工作

决定如何在你的* 1*2*22 里堆彻  模块

R 的设定档

给系统管理员提供了相当大的弹性来设定系统里程式的权限赋予由 

控制的系统安全的本地配置可以包含在以下两个地方或者是一个单一的系统文件

* 1*214=或者是* 1*2*目录下的文件本章我们来讨论这些文件的语法

和一般的选项

R(设定档的语法

请注意在这些文件里 特有的符号是不区分大小写的而模块的路径是大

小写敏感的因为它标识的是  下的文件的名字而任何模块参数的大小写分别由

各个模块定义

除以下的行之外为系统管理员方便还有两个特殊的字符注解由?S?开头结束于行结

束另外模块的描述行可以以 ?G?脱字符延续到下一行

通常* 1*214 里的每一行有以下格式

%1BB !2BB1 TBB2 BB 

接下来我们来解释每个栏位的意思另一种也是常被采用的设置 的方法

是通过* 1*2*里的文件来实现在我们解释完上面的那行之后我们就来讨论这种

方法

%1

BB这笔记录相关的服务名称通常这服务名称是特定应用程序的名字比如U4 2?

U?和 U?这些

BB有一个保留的服务名称它是用来定义默认的认证机制的它就是U9:N#?大小写

无关注意当已经有为指定服务定义了模块那么 U9:N#?记录会被忽略

 !2

BB模块的四种目前是类型这四种类型是

BBBBBB. =这种模块类型确定有关用户认证的两方面第一它确认用户就是他们自

己这通过指示应用程序提示用户输入密码或者其它证实身份的方法第二这类模块会

剩余62页未读，继续阅读

评论收藏

内容反馈

版权申诉

智慧安全方案

粉丝: 3679
资源: 59万+

TheLinux-PAM系统管理员指南.doc

TheLinux-PAM系统管理员指南.docx

Solaris高级系统管理员指南样式.doc

Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1

systemd-pam-239-51.el8.x86_64.rpm

Linux-PAM的分析与应用.pdf

Linux-PAM-1.1.8.tar.bz2下载

pam-1.1.8-23.el7.x86_64.rpm

pam-devel-1.1.8-23.el7.x86_64.rpm

Linux-PAM-1.1.1.tar.bz2

nss-pam-ldapd-0.9.9-4.el8.x86_64.rpm

pam-devel-1.1.1-24.el6.x86_64.rpm

systemd-pam-239-49.el8.x86_64.rpm

pam-1.1.8-22.el7.x86_64.rpm

systemd-pam-239-50.el8.x86_64.rpm

PyPI 官网下载 | python-pam-1.8.4.tar.gz

systemd-pam-239-50.el8.ppc64le.rpm

systemd-pam-239-49.el8.ppc64le.rpm

KepOPC DA2UA实现从OPCDA到OPCUA的转换及读写互操作

kkFileView-4.4.0-SNAPSHOT.tar.gz

Midjourney-关键词大全

“未来工厂”建设导则.pdf

2024年Java基础面试题，附带详细解析答案

腾讯QQ秀立项调研PPT

5G介绍PPT.pptx

2024年最新最全面的Java后端面试资料

海盗派测试分析.pdf

CHATGPT训练指令模板.docx

最新资源