Сетевые средства Linux

Смит Родерик В.

Листинг 6.4. Пример конфигурационного файла РАМ для поддержки Kerberos

#%РАМ-1.0

auth required /lib/security/pam_nologin.so

auth sufficient /lib/security/pam_unix.so shadow md5 \

 nullok likeauth

auth required /lib/security/kam_krb5.so use_first_pass

account required /lib/security/pam_unix.so

password required /lib/security/pam_crack.lib.so

password required /lib/security/pam_unix.so shadow md5 \

 nullok use_authtok

session required /lib/security/pam_unix.so

session optional /lib/security/pam_krb5.so

session optional /lib/security/pam_console.so

На

заметку

В разных системах модули РАМ настраиваются по-разному, поэтому содержимое конфигурационного файла может отличаться от приведенного в листинге 6.4. Часто настройка сводится к включению строки, указывающей на

pam_krb.so

, и удалению ссылки на другой модуль.

В данном примере наиболее важны последняя запись

auth

и вторая запись

session

, которые настраивают РАМ для использования Kerberos при регистрации пользователя и завершении его работы. В записи

auth

содержится параметр

use_first_pass

, который сообщает Kerberos РАМ о том, что для поддержки сеанса используется первый пароль. В результате модуль действует подобно

kinit

, получая и сохраняя TGT. Аналогично могут быть настроены многие модули РАМ, но для установки конфигурации некоторых из них необходимо выполнить дополнительные действия. Так, например, может потребоваться дополнительная запись

password

, которая помещается после существующих и имеет следующий вид:

password required /lib/security/pam_krb5.so use_authtok

Это необходимо в случае, если модуль

password

используется программой

раsswd

, которая изменяет пароль, но не выполняет аутентификацию пользователя. В некоторых файлах не должны присутствовать записи

session

, так как это приведет к разрушению билетов. Например, недопустимо, чтобы модули

xscreensaver

и

linuxconf

разрушали билеты; при завершении соответствующих программ возобновляется текущий сеанс, в котором билеты должны быть действительны.

В некоторых случаях приходится удалять существующие записи из файлов, размещенных в

/etc/pam.d

. В частности, если вы добавляете запись, указывающую на а в файле уже есть запись такого же типа, которая ссылается на

pam_pwdb.so

, существующую запись необходимо удалить. Библиотека

pam_pwdb.so

обеспечивает непосредственный доступ к базе данных паролей, и если обе записи присутствуют, в аутентификации участвуют как локальная база паролей, так и база данных Kerberos. Возможно, в некоторых ситуациях, когда требуется чрезвычайно высокая степень защиты, такой подход оправдан, но в большинстве случаев он лишь уменьшает степень гибкости Kerberos, так как пользователь вынужден менять пароль и на и на рабочей станции. Если в конфигурационном файле РАМ

password

предусмотрена двойная проверка, при работе с одной рабочей станцией настройки легко согласовать с помощью инструмента

passwd

, однако отслеживать изменения во всей сети достаточно сложно.

Новая конфигурация РАМ становится доступна сразу после внесения соответствующих изменений; перезапускать программы РАМ не требуется. Если установленная конфигурация оказывает воздействие на сервер, который уже выполняется в системе, то чтобы он работал с учетом новой конфигурации его, возможно, придется перезапустить. Если установки влияют на

регистрацию в системе, они окажут требуемое воздействие лишь после завершения сеанса работы пользователя. При использовании средств регистрации с графическим интерфейсом, например GDM, может понадобиться перезапустить сервер.

Резюме

Kerberos — мощный инструмент, позволяющий централизованно выполнять аутентификацию в сети. Протокол обмена предполагает передачу шифрованных сообщений и наличие централизованной базы данных, которая используется серверами приложений, рабочими станциями и основным сервером Kerberos для аутентификации. Применяя средства Kerberos, можно добиться того, что после регистрации на некоторой рабочей станции пользователь сможет работать со всеми сетевыми службами, при этом повторный ввод пароля не потребуется. Исходный пароль никогда не передается по сети, поэтому вероятность того, что пароль попадет в руки злоумышленника, становится минимальной. Наличие централизованной базы данных существенно упрощает поддержку учетных записей.

Существует несколько реализаций Kerberos, предназначенных для применения в системе Linux; некоторые из них проще в использовании, чем другие. Для того чтобы сконфигурировать сеть Kerberos, надо установить на всех компьютерах как минимум подмножество системы Kerberos. Один из компьютеров должен выполнять функции центра распространения ключей (key distribution center — KDC); именно на этой машине располагается база данных с информацией о пользователях. На рабочих станциях и серверах необходимо установить керберизованные версии клиентских и серверных программ. Несмотря на то что настройка этих программ требует времени и усилий, достигнутый в результате использования Kerberos более высокий уровень защиты и преимущества централизованного администрирования оправдывают затраты. В особенности это заметно в сетях среднего и большого размера.

Глава 7

Совместное использование файлов и принтеров с помощью Samba

В конце 1990-х в локальных сетях все чаще стали устанавливать компьютеры под управлением Linux. Увлеченные перспективой затрачивать для решения сложных задач относительно небольшие ресурсы, администраторы использовали Linux даже тогда, когда это было совершенно не оправдано. Часто такими компьютерами заменяли дорогие и ненадежные серверы Windows, в результате пришлось решать задачу взаимодействия клиентов, работающих под управлением Windows, и Linux-серверов, т.е. возникла потребность в специальном инструменте, позволяющем поддерживать новую конфигурацию сети. Таким инструментом стал продукт Samba — сервер, обеспечивающий поддержку протокола SMB (Server Message Block — блок сообщений сервера), который в настоящее время известен также под названием CIFS (Common Internet Filesystem — общая межсетевая файловая система). SMB/CIFS — это протокол, позволяющий организовывать совместное использование файлов и принтеров и работающий на базе NetBIOS (набор протоколов, широко используемый в сетях, содержащих компьютеры под управлением Windows). Другими словами, Samba позволяет компьютеру под управлением Linux выполнять функции файлового сервера и сервера печати в сетях, содержащих компьютеры Windows. В настоящее время Samba очень хорошо справляется с этой задачей, кроме того, данный продукт постоянно дорабатывается и дополняется новыми средствами.

В начале данной главы речь пойдет о роли, которую Samba играет в современных сетях, а затем мы обсудим общие вопросы настройки Samba. В частности, здесь будут рассмотрены конфигурация Samba как контроллера домена, основного броузера и сервера имен NetBIOS; такие функции не имеют непосредственного отношения к разделению файлов, но их приходится выполнять в сетях NetBIOS. Средства Samba, предназначенные для разделения файлов и принтеров, понять не сложно; при их обсуждении будет уделено внимание ряду параметров, позволяющих изменить поведение системы. Завершается данная глава рассмотрением средств автоматизации Samba, с помощью которых решаются задачи, обычно не имеющие непосредственного отношения к организации файловых серверов и серверов печати.