使用Active Directory执行Linux客户端身份验证

　 长久以来Linux和Windows一直对立存在并快速发展着,企业中的应用也逐渐分为两大阵营.它们彼此既不互相竞争,也不互相协作.虽然Windows与Linux之间的竞争水火不容,但目标都希望为公司提供高质量且经济高效的IT服务.作为企业IT管理者,实现此目标的方法之一是共享Active Directory.几乎所有的IT组织都采用Active Directory,为它们的Windows桌面和服务器提供身份验证服务.与其针对Linux环境维护一个不同的身份验证基础结构(加上一组不同的用户名和密码),还不如让Linux计算机也采用Active Directory,这样岂不是更好?本文中向您介绍如何实现这一目的.

　　Windows身份验证

　　Windows推出集成网络身份验证和单一登录系统至今已有一段时间了.在Windows 2000之前,Windows NT域控制器(DC)使用NT LAN Manager (NTLM)协议为 Windows客户端提供身份验证服务.虽然NTLM不像当初想象的那样安全,但它还是非常有用的,它完美地解决了需要在网络上跨多个服务器维护重复用户帐户的问题.

　　自Windows 2000开始,Microsoft便从NTLM移到了Active Directory及其集成Kerberos身份验证服务.与NTLM相比,Kerberos更安全,更适合调整.此外,Kerberos更是Linux和UNIX系统早已采纳的行业标准,从而为这些平台打开了与Windows集成的大门.

　　Linux身份验证

　　Linux(以及在其上面运行的GNU 工具和库)当初并不是以单一身份验证机制的设计理念进行构建的.因此,Linux 应用程序开发人员就逐渐养成了一种习惯,即创建属于自己的身份验证方案.他们设法通过在/etc/passwd中查询名称和密码哈希,或者提供截然不同(和个别)的机制,来实现这一目标.

　　由此产生了很多身份验证机制,以至于无法对其进行管理.1995年,Sun提出了称为“可插入身份验证模块”(Pluggable Authentication Modules, PAM) 的机制.PAM提供了一组所有应用程序开发人员都可以使用的通用身份验证API,以及管理员配置的后端,允许多种“可插入”身份验证方案.通过使用 PAM API 进行身份验证以及使用Name Server Switch (NSS) API来查询用户信息,Linux应用程序开发人员可以少编写一些代码,并且Linux管理员可从同一个地方配置和管理身份验证过程. 拥有帝国一切，皆有可能。欢迎访问phome.net

　　大多数Linux发布版本都会随附多个PAM身份验证模块,其中包括支持对LDAP目录进行身份验证和使用Kerberos进行身份验证的模块.用户可以使用这些模块对Active Directory进行身份验证,但这其中存在一些明显的限制.

　　Samba和Winbind

　　Samba是一种开放源代码项目,旨在在Windows与Linux环境之间提供集成.Samba包含的组件使Linux计算机有权访问Windows文件和打印服务,同时还提供了基于Linux的服务来模拟Windows NT 4.0 DC.使用Samba客户端组件,Linux计算机便可利用Windows NT和Active Directory DC 所提供的Windows 身份验证服务.

　　Samba 在这个项目中对我们来说最有趣的一部分叫做Winbind.Winbind 是在Samba客户端上运行的后台程序(在Windows中称为服务),它的作用是充当在Linux计算机上运行的PAM和NSS与在DC上运行的Active Directory之间通信的代理.具体来说,Winbind 使用Kerberos来对Active Directory和LDAP进行身份验证,以检索用户和组信息.Winbind 还提供其他服务,如使用类似于Active Directory中DCLOCATOR的算法来查找DC的功能,以及通过使用RPC与DC进行通信来重置Active Directory密码的功能.

　　Winbind解决了多个仅使用Kerberos和PAM无法解决的问题.具体来说,Winbind并不是将DC进行硬编码以便按照PAM Kerberos模块的方式进行身份验证,而是以类似于Microsoft DC LOCATOR模块运行的方式通过搜索 DNS 定位程序记录来选择DC.

　　三种身份验证策略

　　假设Linux计算机上提供了LDAP、Kerberos 和

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!