Поиск по этому блогу

среда, 20 января 2010 г.

Три стратегии проверки подлинности

Три стратегии проверки подлинности

Учитывая
доступность LDAP, Kerberos и Winbind на компьютерах Linux, существуют
три различные стратегии реализации, которые можно применить, чтобы дать
компьютеру Linux возможность использовать Active Directory для проверки
подлинности.

Использование проверки подлинности LDAP Простейший,
но наименее удовлетворительный способ использования Active Directory
для проверки подлинности – настроить PAM на использование проверки
подлинности LDAP, как показано на рис. 1. Хотя Active
Directory и является службой LDAPv3, клиенты Windows используют для
проверки подлинности Kerberos (с NTLM в качестве резервного варианта),
а не LDAP.

При проверке подлинности LDAP (именуемой привязкой
LDAP) имя пользователя и пароль передаются открытым текстом через сеть.
Это небезопасно и недопустимо для большинства целей.

Аутентификация клиентов Linux с помощью Active Directory - Администрирование Windows - Операционные системы - Программирование, исходники, операционные системы

Рис 1. Проверка подлинности в Active Directory с использованием LDAP

Единственным
способом смягчения этого риска открытой передачи учетных данных
является шифрование канала связи клиент-Active Directory с
использованием чего-нибудь вроде SSL. Это определенно возможно, но
возлагает дополнительную нагрузку управления сертификатами SSL как на
компьютер контроллера домена, так и на компьютер Linux. Вдобавок,
использование модуля LDAP PAM не поддерживает изменения сброшенных или
истекших паролей.

Использование LDAP и Kerberos
Другой стратегией использования Active Directory для проверки
подлинности Linux является настройка PAM на использование проверки
подлинности Kerberos и NSS на использование LDAP для поиска информации
о пользователях и группах, как показано на рис. 2.
Эта схема имеет преимущество относительной защищенности, и в ней
используются «встроенные» возможности Linux. Но она не использует
записи расположения службы (SRV) DNS, публикуемые контроллерами доменов
Active Directory, что заставляет проверить определенный набор
контроллеров домена, чтобы проверить подлинность по ним. Это также не
дает особенно интуитивного способа управления истекающими паролями
Active Directory или, до недавнего времени, адекватного поиска членов
групп.

Аутентификация клиентов Linux с помощью Active Directory - Администрирование Windows - Операционные системы - Программирование, исходники, операционные системы

Рис 2. Проверка подлинности в Active Directory с использованием LDAP и Kerberos

Использование Winbind
Третьим способом использования Active Directory для проверки
подлинности Linux является настройка PAM и NSS на выполнение вызовов к
управляющей программе Winbind. Winbind переведет различные запросы PAM
и NSS в соответствующие вызовы Active Directory, используя LDAP,
Kerberos или RPC, в зависимости от того, что будет наиболее подходящим.
На рис. 3 приведен наглядный пример данной стратегии.

Аутентификация клиентов Linux с помощью Active Directory - Администрирование Windows - Операционные системы - Программирование, исходники, операционные системы

Рис 3. Проверка подлинности в Active Directory с использованием Winbind


на