Solaris高级系统管理员指南(PDF)19.pdfVIP

下载 下载 第19章 使用身份验证服务 Secure RPC在客户主机和用户对服务器进行任务申请时进行安全身份验证，这提供了附 加的安全特性。 Secure RPC使用D i ff i e - H e l l m a n 或K e r b e r o s来进行身份验证。这两种身份验证 方法都使用了D E S (数据加密标准)来进行加密。包括N F S 和N I S +服务在内的应用程序都使用了 Secure RPC 。 N F S 允许多个主机在网络上共享文件。客户主机使用文件系统而服务器则将其输出 ( e x p o r t ) 出来。在客户主机上登录的用户可以通过加载服务器的文件系统的方法来使用服务器上的资源。 对于客户系统的用户来讲，文件系统就像是在本地一样。 N F S环境最通常的用处是可以使所有 用户的文件都放在一个集中的地方。N F S 系统还包括了一些特性，如- n o s u i d加载选项，可以用 来禁止打开文件系统所对应的设备。 在N F S环境中当用户在网络上提出使用申请时，可以使用 Secure RPC 。这两者的组合被 称为Secure NFS 。这里所使用的身份验证算法( A U T H _ D H )使用D E S加密的D i ff i e - H e l l m a n身份 验证来确认使用权。 A U T H _ D H 也曾经被称做 A U T H _ D E S 。A U T H _ K E R B 4 使用D E S加密的 K e r b e r o s身份验证方式。它也曾经被称做 A U T H _ K E R B 。 这一章中介绍Secure RPC如下的几个组成部分： ■ 使用数据加密方法( D E S )进行加密。 ■ D i ff i e - H e l l m a n身份验证。 ■ Kerberos Version 4 身份验证。 ■ 身份验证模块( PA M )插件。 19.1 DES加密 D E S使用一个 5 6位的密匙来为用户数据加密。如果有两个互相信任的用户知道这个 D E S 密匙，他们可以使用这个密匙加密和解密文档来进行私人的交谈。 D E S 是一个较快的加密算 法。使用D E S碎片法会使加密的速度变得更快。如果不存在 D E S碎片的话，软件部分会自动 产生一个代用品。 使用D E S 的危险在于经过一段时间之后，如果入侵者得到了足够多的用同一个密匙加密 的信息之后，他就有可能解得这个密匙并可以将信息解密。由于这种原因，像 Secure RPC这 样的安全系统要经常地更换密匙。 19.2 Diffie-Hellman身份验证 D i ff i e - H e l l m a n是用户担心入侵者攻击的时候使用的身份验证方式。客户和服务器有各自 的密匙，密钥(secret key) 和公钥(public key)在一起就产生了公用钥 (common key) 。他们使用 公用钥来进行通信，双方使用相同的加密 / 解密方法，如 D E S 。在上一个版本的 S o l a r i s系统中 提供了这种方法。 验证是基于发出系统可以使用公用钥来加密当时时间而在接收系统可以将时间解密并和 第19章 使用身份验证服务 285 下载 当前时间进行比较的可能性。因为 D i ff i e - H e l l m a n身份验证是基于时间的匹配，所以 k e y s e r v e r 程序首先要进行服务器和客户系统之间时间的同步。 公钥和密钥都保存在N I S 或N I S + 数据库中。N I S 将密匙保存在密匙对应表中，而 N I S +则将 它们保存在c r e d表中。这些文件保存了所有用户的公钥和密钥。 系统管理员要承担起设置 N I S 或N I S + 表并为每一个用户产生公钥和密钥的任务。密钥被 用用户的密码加密的。这使得只有用户自己知道这个密匙。 19.2.1 Diffie-Hellman身份验证是如何工作的 在这一部分中描述在客户和服务器之间如何使用 D H身份验证( A U T H _ D H ) 。 1. 产生公钥和密钥 有