集中式身份認證:
NIS 網絡信息系統sun
LDAP 輕量級目錄訪問協議
在windows 中 由Winbind服務提供集中認證
1) 配置客戶端作爲NIS或者LDAP 作爲集中式身份認證
2) Access cortrol list
3) fs quotas 磁盤配額
集中存放賬號密碼並對用戶訪問做集中認證
windows 中 SAM數據庫
linux 中 /etc下 的 passwd 和 shadow 文件
用戶賬戶:login_name/password GID UID home_dir shell 等信息 放入數據庫
基於模塊化設計的 用戶認證機制NSS(name service switch) 獨立出一臺服務器 專門用來做身份認證 NIS 如果用戶登錄服務器A 則把賬號信息輸入到A A通過網絡傳送給B 由B來對比賬戶信息數據庫再把對比結果返回給A
NSS同時可以用來做賬戶和主機名轉換
其他:PAM 可插入式認證模塊
定義轉換規則以及規範:
/etc/protocols和/etc/services 定義每種服務對應的端口號
/etc/nsswitch.conf 定義了名稱解析使用哪種服務 以及先後順序
可以爲toylinux 定義名稱解析方式 需要libnss-files 等兩個庫文件支持
當passwd hosts group 等在nsswitch中定義過的文件
#getent passwd 或者hosts group 等等 將返回該文件內容
獲取某一種名稱解析的所有解析條目 即 獲取其數據庫文件
NSS ;kerberos;LDAP;SmartCard;SMB;Winbind
NSS 1 賬號是否存在 2密碼是否正確 3都對的話是否匹配 4賬號是否過期 5該用戶具有的訪問資源的權限
kerberos 網絡服務端和客戶端 客戶端用用戶的密碼加密一段數據 然後由服務器上存放的該用戶密碼進行解密 叫做令牌方式 類似密鑰
LDAP 目錄服務 速度快 比關係型數據庫快10倍 默認LDAP是明文傳送
如果要加密 需要LDAPS支持 ldap+ssh
SmartCard 生物識別 或者 加密狗類似的內置證書的設備
SMB服務器可以和openLDAP服務器結合起來 SMB做文件服務器 ldap做用戶認證 將可以實現Winbind 類型的域控制
yellowpage 黃頁 整合了某一地域中的所有資源信息 NIS域
域是用來標識主機處於哪個邏輯範圍之內
NIS域需要域名來標識 可以是一個字符串 也可以類dns的域名
不安全 NIS+ 可以解決安全問題 但收費
NIS 需要RPC服務支持
rpc 遠程過程調用/控制 兩臺主機之間可以基於會話層建立數據交換
portmap提供了rpc服務
配置NIS:
1
NIS 依賴兩個軟件包 ypserv服務端 ypbind客戶端 yp-tools 是共有的軟件包
#nisdomainname 顯示當前的nis域名 假設我們有個nis域服務器域名爲notexample
#nisdomainname notexample
#vim /etc/sysconfig/network
加入NISDOMAIN=notexample
2)
查看rpc服務狀態
#service portmap status
#rpcinfo -p localhost/遠程主機IP
3)
修改yp服務配置文件
/etc/yp.conf
加入domain notexample server 192.168.0.254
4)
測試服務狀態
#yptest -d notexample 將自動驗證domainname-->ypbind-->yp_match-->yp_first-->yp_next等等
如果沒有開啓
#service ypbind start 也可以加入開機啓動列表 #chkconfig ypbind on
#su - username 看是否能登陸 使用的用戶名雖然本機未定義 但在nis服務器上有
修改/etc/nsswitch.conf
passwd:
shadow
group
hosts
四個行 將nis 寫到後面的第二項 以空格隔開
例如passwd: files nis
5)
本地建立家目錄賦予權限 或者漫遊家目錄
實現用戶在登錄時自動掛載相應家目錄到本地的/home
#vim /etc/auto.master
加入 /home/guests /etc/auto.home
#vim /etc/auto.home
映射多人 * -rw,intr,hard 192.168.0.254:/home/guests/&
映射一人 guest
#service autofs restart
#mkdir /home/guests
如果home busy 則可以踢出目前佔用home的用戶
#fuser -km /home
#su - guest2001
ls 可見家目錄 此時家目錄已經自動掛載
#exit 退出