集中用戶認證

1、集中安全存儲塊級加密 增強用戶安全 集中用戶認證集中用戶認證07/21/12配置 sudo根據(jù) /etc/sudoers 文件中的設(shè)置, sudo 命令可允許用戶以 root 身份或其他用戶身份運行命令通過 visudo命令更新該文件,這樣可確保文件不被同時編輯、滿足各種完整性檢查。并確保不存在基本解析錯誤。 sudoers 規(guī)則(一種用戶規(guī)范,可控制用戶可以運行哪些命令)的基本語法是什么? userMACHINE=(RUNAS_USER) COMMANDS sudoers 條目有兩種類型。大多數(shù)人想到的一種是“ sudoers 規(guī)則“,它是一種用戶規(guī)范, 可控制因用戶主機、規(guī)則不同,用戶可以

2、運行哪些命令。它指定 MACHINE 上的 user 可以 用戶 RUNAS_USER 身份運行以逗號分隔的命令 COMMANDS 列表。 MACHINE 字段允許同一 /etc/sudoers 文件復(fù)制到多臺計算機,但對不同的計算機有不同影 響。sudoers 條目的另一個類型是別名,允許設(shè)置變量,可在用戶規(guī)范的四個字段之一中使用 sudo 規(guī)則語法示例:1. 授予 wheel 組成員訪問任何命令的權(quán)限 %wheel ALL = ALL2. 授予用戶 student 對 SOFTWARE 命令的訪問權(quán)限,而不需要她的密碼 student ALL = NOPASSWD: SOFTWARE3.

3、定義一組用戶別名,并授予對任何命令具有訪問權(quán)限 : ( 注意組別名要大寫 ) User_Alias WESTOS = user1, user2, user3 WESTOS ALL = ALL07/21/124. 授予一組用戶對特定命令列表具有 sudo 訪問權(quán)限User_Alias WESTOS = user1, user2, user3Cmnd_Alias COMMANDS = command1, command2WESTOS ALL = COMMANDS5. 授予用戶 student 對 NETWORKING 組中命令的訪問權(quán)限student ALL = NETWORKING6. 授予 d

4、ba 組對 service 和 chkconfig 命令的訪問權(quán)限,以使用 vsftpd 服務(wù)%dba ALL = /sbin/service vsftpd *, /sbin/chkconfig vsftpd *07/21/12集中用戶認證LDAP(輕量級目錄服務(wù)訪問協(xié)議，Lightweight Directory Access Protocol)基于X.500標(biāo)準(zhǔn)，支持TCP/IP，使用簡單方便?，F(xiàn)在越來越多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都支持LDAP。OpenLDAP是LDAP的一種開源實現(xiàn)。目錄是一個為查詢、瀏覽和搜索而優(yōu)化的專業(yè)分布式數(shù)據(jù)庫，它成樹狀結(jié)構(gòu)組織數(shù)據(jù)，就好象Linux/Unix系統(tǒng)中的文件

5、目錄一樣。目錄數(shù)據(jù)庫和關(guān)系數(shù)據(jù)庫不同，它有優(yōu)異的讀性能，但寫性能差，并且沒有事務(wù)處理、回滾等復(fù)雜功能，不適于存儲修改頻繁的數(shù)據(jù)。所以目錄天生是用來查詢的。類似以下的信息適合儲存在目錄中： 企業(yè)員工和企業(yè)客戶之類人員信息； 公用證書和安全密鑰； 郵件地址、網(wǎng)址、IP等電腦信息； .07/21/12Openldap軟件安裝# yum install openldap openldap-clients openldap-servers -yOpenldap服務(wù)管理# service ldap start# service ldap stop# service ldap restart# chkcon

6、fig ldap on07/21/12客戶端認證設(shè)置-命令行07/21/1207/21/12客戶端認證設(shè)置 - 圖形化07/21/1207/21/12自動掛載網(wǎng)絡(luò)存儲要使用 mount 命令,需要具有 root 用戶權(quán)限以連接到網(wǎng)絡(luò)共享?；蛘?我們可以向 /etc/fstab 添加條目,但是隨后與網(wǎng)絡(luò)服務(wù)器的連接將始終處于活動狀態(tài)。當(dāng)某一程序試圖訪問網(wǎng)絡(luò)共享中的文件時,可以將 automounter (或 autofs )服務(wù)配置為“按需”掛載網(wǎng)絡(luò)共享。當(dāng)共享不再使用并處于不活動狀態(tài)一定時間以后,automounter 會對共享解除掛載。注意:不活動狀態(tài)的時間間隔默認為五分鐘,但該時間間隔可在

7、 /etc/sysconfig/autofs 中進行全局更改。rootinstructor # grep TIMEOUT /etc/sysconfig/autofs# TIMEOUT - set the default mount timeout (default 600).TIMEOUT=300.output omitted.通常,我們需要使用網(wǎng)絡(luò)共享在不活動狀態(tài)下保持掛載一小段時間,從而防止在段時間內(nèi)對其進行再次使用。這能夠避免不必要的掛載 / 解除掛載的周期。07/21/12我們將介紹使用自動掛載器的兩種方法。首先,使用特殊的 /net 自動掛載掛載點,然后手動配置間接自動掛載映射。特殊映射 /net 默認情況下, autofs 服務(wù)運行時,存在一個名為 /net 的特殊目錄,但是該目錄將顯示為空。 訪問不存在的目錄 /net/ 會使自動掛載器創(chuàng)建該子目錄,并顯示該 NFS 服務(wù)器上的所有 NFS 導(dǎo)出項。這有時稱為“瀏覽”共享:#