7.1Một host và nhĩm các user
Cụ thể hĩa 1 nhĩm user được phép sử dụng 1 host.Phương pháp ủy quyền đầu tiên, trong đĩ bạn chỉ định một nhĩm người dùng được phép sử dụng một host nào đĩ, quan hệ vào các thơng tin khác mà bạn đã di chuyển vào thư mục. Nhập máy chủ cho một máy tính (được tạo ra từ / etc / hosts bởi các scripts PADL) cĩ thể được mở rộng để bao gồm một danh sách các DNS cho người dùng (thành viên) được ủy quyền để đăng nhập vào sử dụng pam_ldap
dn: cn=pogo,ou=hosts,dc=plainjoe,dc=org objectClass: ipHost objectClass: device objectClass: extensibleObject ipHostNumber: 192.168.1.75 cn: pogo.plainjoe.org cn: pogo member: uid=gcarter,ou=people,dc=plainjoe,dc=org member: uid=kristi,ou=people,dc=plainjoe,dc=org member: uid=deryck,ou=people,dc=plainjoe,dc=org
Để cấu hình pam_ldap để vinh danh thành viên nhĩm này, hai dịng sau đây phải được thêm vào / etc / ldap.conf:
## Define the DN of the entry to contain the groupOfUniqueNames. pam_groupdn cn=pogo,ou=hosts,dc=plainjoe,dc=org
## Define the attribute type that should be used in the attempt to match the user's ## DN.
pam_member_attribute member
7.2 Một user và một nhĩm các host
Bạn cũng cĩ thể chỉ định các máy mà bất kỳ người dùng nào được phép truy cập. Để thực hiện cơ chế này, tài khoản cấu trúc đối tượng lớp được liệt kê trong file cosine.schema phải cĩ mặt trong danh sách các lớp đối tượng . Hình 6-6 cho thấy các lớp đối tượng account yêu cầu chỉ cĩ một thuộc tính. Thuộc tính này, uid, đã được yêu cầu của lớp đối tượng posixAccount và do đĩ đảm bảo cĩ mặt.
cĩ các thuộc tính host được sử dụng pam_ldap. LDIF cho thấy lớp tài khoản đối tượng cĩ thể được sử dụng để kiểm sốt truy cập:
dn: uid=gcarter,ou=People,dc=plainjoe,dc=org uid: gcarter
cn: Gerald (Jerry) Carter objectClass: account objectClass: posixAccount objectClass: shadowAccount loginShell: /bin/bash uidNumber: 780 gidNumber: 100 homeDirectory: /home/queso/gcarter userPassword: {crypt}GoYLwzMD6cuZE host: queso.plainjoe.org host: pogo.plainjoe.org host: tumnus.plainjoe.org
Danh sách này cho thấy rằng user gcarter được phép truy cập các máy chủ queso, Pogo, và tumnus. Để kích hoạt chức năng kiểm tra máy chủ của pam_ldap, bạn phải kích hoạt các tham số
pam_check_host_attr trong ldap.conf: ## Enable host attribute lookups. pam_check_host_attr yes
8. Netgroup
Netgroups cho phép các máy và/hoặc user được thu thập cho các cơng việc như: nhĩm các máy với nhau để sử dụng trong các tập tin tcp_wrapper / etc / hosts.allow và / etc / hosts.deny. Trong ví dụ tiếp theo cho giới hạn truy cập thơng qua ssh cho các thành viên của netgroup sysadmin:
# /etc/hosts.deny sshd: ALL . . .
# /etc/hosts.allow sshd: @sysadmin
Netgroups cĩ thể được chỉnh với chỉ 1 hosts cá nhân
sysadmin (garion.plainjoe.org,-,-)(silk.plainjoe.org,-,-)
hoặc các netgroup khác:
all_sysadmin sysadmin secure_clients
9. Bảo mật
Bạn đã đặt rất nhiều thơng tin nhạy cảm vào thư mục của bạn, mà bây giờ kiểm sốt cho dù người dùng cĩ thể đăng nhập vào máy tính trên mạng của bạn. Và bạn chắc chắn cĩ thể đặt nhiều thơng tin vào thư mục: số điện thoại, thơng tin nguồn nhân lực, vv Một số thơng tin này cĩ thể
bạn khơng biết làm thế nào để ngăn người dùng truy cập thơng tin mà họ khơng nên cĩ quyền truy cập vào. Để cĩ bất kỳ tin tưởng vào một giải pháp, chúng ta phải kiểm tra xem vấn đề bảo mật nhất định được giải quyết bằng các mơ-đun PAM và NSS.
Từ quan điểm của quản trị hệ thống, các thơng tin quan trọng nhất để bảo vệ liên quan đến tài khoản người dùng và nhĩm. Mọi người cần phải quan tâm đến sử dụng một giao thức văn bản rõ ràng, chẳng hạn như FTP, để chuyển / etc / passwd và / etc / shadow từ một máy khác.
Để bảo vệ mật khẩu người dùng, chúng ta phải nhìn vào các mơ-đun PAM liên kết với các thư mục. pam_ldap luơn luơn sử dụng một liên kết đơn giản để xác thực người dùng chống lại một máy chủ LDAP. Bạn nên tránh gửi thơng tin tài khoản trên mạng trong một hình thức cĩ thể đọc được bởi bất cứ ai xem lưu lượng truy cập.
LDAPv3 cung cấp hai cơ chế cĩ thể được sử dụng để bảo vệ mật khẩu. Một là sử dụng SASL để hỗ trợ các phương pháp xác thực an tồn như Kerberos 5 hoặc DIGEST-MD5. Tuy nhiên, trong khi cơ chế này bảo vệ mật khẩu, nĩ khơng nhất thiết phải bảo vệ các thơng tin khác hơn là mật khẩu của người dùng. Nĩ khơng được hỗ trợ bởi pam_ldap. Các giải pháp thứ hai là để thương lượng một lớp vận chuyển an tồn để bảo vệ các thơng tin được sử dụng trong các yêu cầu ràng buộc LDAP cũng như tất cả các thơng tin khác được gửi đến và đi từ máy chủ thư mục.
Việc bảo mật phải được thực hiện bởi máy chủ và máy khách. Khơng cĩ sự khác biệt nếu một bên sẵn sàng để giao tiếp an tồn, nhưng bên cịn lại thì khơng. Cả hai mơ-đun pam_ldap và nss_ldap hỗ trợ bằng cách sử dụng lệnh STARTTLS đàm phán việc bảo mật lớp vận chuyển. Ngồi ra, các mơ-đun cũng hỗ trợ giao thức LDAPS (tcp/636)