Родерик Смит - Сетевые средства Linux
При инсталляции РАМ для поддержки Kerberos вы по сути устанавливаете средства, с помощью которых РАМ настраивается для выполнения конкретной задачи. В состав модуля РАМ входит одна или несколько библиотек, которые располагаются в каталогах /lib/security или /usr/lib/security. В системе Red Hat библиотеки содержатся в файлах pam_krb5.so и pam_krb5afs.so. Для работы с этими библиотеками вы должны внести изменения в конфигурационные файлы РАМ, которые содержатся в каталоге /etc/pam.d. Имена конфигурационных файлов составляются на основании имен серверов и других программ, для которых необходимо выполнить аутентификацию. Например, содержимое файла /etc/pam.d/login определяет взаимодействие программы login с РАМ. При редактировании конфигурационного файла РАМ в нем надо изменить (или добавить) одну или несколько строк, определяющих использование нового модуля Kerberos. В пакете, предназначенном для системы Red Hat, содержится большое число файлов с примерами настройки. Эти файлы находятся в каталоге /usr/share/doc/pam_krb5-версия/pam.d, где версия — это номер версии пакета. Чтобы упростить настройку, надо скопировать соответствующие конфигурационные файлы в каталог /etc/pam.d. Файлы, которые могут потребоваться вам, перечислены ниже.
• login. Данный файл управляет взаимодействием с программой login. Настроив РАМ для работы с Kerberos, вы можете отказаться от login.krb5 и продолжать работу с привычной вам программой login.
• gdm. GNOME Display Manager, или GDM, является одним из трех широко распространенных средств регистрации с графическим интерфейсом. (О настройке GDM и других подобных инструментах речь пойдет в главе 14.)
• xdm. Вторым инструментом, предоставляющим графический интерфейс для регистрации, является X Display Manager, или XDM. Конфигурационные файлы XDM может также использовать KDE Display Manager. В описании утверждается, что данный файл должен обеспечить аутентификацию Kerberos при работе указанных средств регистрации, однако при установке конфигурации в системе Mandrake возникают проблемы.
• su и sudo. Программа su, которая обсуждалась ранее, позволяет пользователю после регистрации в системе переходить к другой учетной записи. Программа делает то же самое, используя аутентификацию Kerberos, однако аналогичные результаты можно получить, создав файл РАМ для su. Файл sudo управляет взаимодействием с утилитой sudo.
• passwd. Этот файл настраивает РАМ так, что информация об изменении пароля, выполненном с помощью программы passwd, передается KDC.
• vlock. Программа vlock блокирует консоль, не завершая при этом сеанс работы пользователя. Чтобы разблокировать консоль, необходимо ввести пароль. Как нетрудно догадаться, данный файл обеспечивает аутентификацию путем обращения программы vlock к KDC.
• xlock и xscreensaver. Программы с такими именами предназначены для блокирования сеанса X Window (т.е. они выполняют действия, аналогичные vlock). Программа xscreensaver автоматически блокирует сеанс, если в течение определенного периода времени пользователь не выполняет никаких действий.
Возможно, вы захотите настроить и другие программы для взаимодействия с Kerberos; при этом вам придется отредактировать соответствующие конфигурационные файлы РАМ. Если какой-то из серверов уже сконфигурирован для работы с Kerberos, вам не надо модифицировать файлы РАМ. Например, если у вас уже установлен керберизованный FTP-сервер, вам не следует изменять файл /etc/pam.d/ftp. Подобные программы могут взаимодействовать с KDC, минуя РАМ; при работе с ними нет необходимости вводить имя пользователя и пароль, как это приходится делать, используя программы, взаимодействующие посредством РАМ.
Если некоторая программа использует РАМ, то для обеспечения ее совместной работы с Kerberos вам необходимо добавить или заменить некоторые строки в конфигурационном файле РАМ. В составе такого файла содержатся записи, определяющие основные действия, связанные с аутентификацией: auth (аутентификация пользователя), account (проверка корректности учетной записи), password (изменение пароля) и session (начало и завершение сеанса). В листинге 6.4 показано содержимое файла gdm, входящего в состав Kerberos РАМ для Red Hat.
Листинг 6.4. Пример конфигурационного файла РАМ для поддержки Kerberos
#%РАМ-1.0
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_unix.so shadow md5
nullok likeauth
auth required /lib/security/kam_krb5.so use_first_pass
account required /lib/security/pam_unix.so
password required /lib/security/pam_crack.lib.so
password required /lib/security/pam_unix.so shadow md5
nullok use_authtok
session required /lib/security/pam_unix.so
session optional /lib/security/pam_krb5.so
session optional /lib/security/pam_console.so
На заметкуВ разных системах модули РАМ настраиваются по-разному, поэтому содержимое конфигурационного файла может отличаться от приведенного в листинге 6.4. Часто настройка сводится к включению строки, указывающей на pam_krb.so, и удалению ссылки на другой модуль.
В данном примере наиболее важны последняя запись auth и вторая запись session, которые настраивают РАМ для использования Kerberos при регистрации пользователя и завершении его работы. В записи auth содержится параметр use_first_pass, который сообщает Kerberos РАМ о том, что для поддержки сеанса используется первый пароль. В результате модуль действует подобно kinit, получая и сохраняя TGT. Аналогично могут быть настроены многие модули РАМ, но для установки конфигурации некоторых из них необходимо выполнить дополнительные действия. Так, например, может потребоваться дополнительная запись password, которая помещается после существующих и имеет следующий вид:
password required /lib/security/pam_krb5.so use_authtok
Это необходимо в случае, если модуль password используется программой раsswd, которая изменяет пароль, но не выполняет аутентификацию пользователя. В некоторых файлах не должны присутствовать записи session, так как это приведет к разрушению билетов. Например, недопустимо, чтобы модули xscreensaver и linuxconf разрушали билеты; при завершении соответствующих программ возобновляется текущий сеанс, в котором билеты должны быть действительны.
В некоторых случаях приходится удалять существующие записи из файлов, размещенных в /etc/pam.d. В частности, если вы добавляете запись, указывающую на а в файле уже есть запись такого же типа, которая ссылается на pam_pwdb.so, существующую запись необходимо удалить. Библиотека pam_pwdb.so обеспечивает непосредственный доступ к базе данных паролей, и если обе записи присутствуют, в аутентификации участвуют как локальная база паролей, так и база данных Kerberos. Возможно, в некоторых ситуациях, когда требуется чрезвычайно высокая степень защиты, такой подход оправдан, но в большинстве случаев он лишь уменьшает степень гибкости Kerberos, так как пользователь вынужден менять пароль и на и на рабочей станции. Если в конфигурационном файле РАМ password предусмотрена двойная проверка, при работе с одной рабочей станцией настройки легко согласовать с помощью инструмента passwd, однако отслеживать изменения во всей сети достаточно сложно.
Новая конфигурация РАМ становится доступна сразу после внесения соответствующих изменений; перезапускать программы РАМ не требуется. Если установленная конфигурация оказывает воздействие на сервер, который уже выполняется в системе, то чтобы он работал с учетом новой конфигурации его, возможно, придется перезапустить. Если установки влияют на регистрацию в системе, они окажут требуемое воздействие лишь после завершения сеанса работы пользователя. При использовании средств регистрации с графическим интерфейсом, например GDM, может понадобиться перезапустить сервер.
Резюме
Kerberos — мощный инструмент, позволяющий централизованно выполнять аутентификацию в сети. Протокол обмена предполагает передачу шифрованных сообщений и наличие централизованной базы данных, которая используется серверами приложений, рабочими станциями и основным сервером Kerberos для аутентификации. Применяя средства Kerberos, можно добиться того, что после регистрации на некоторой рабочей станции пользователь сможет работать со всеми сетевыми службами, при этом повторный ввод пароля не потребуется. Исходный пароль никогда не передается по сети, поэтому вероятность того, что пароль попадет в руки злоумышленника, становится минимальной. Наличие централизованной базы данных существенно упрощает поддержку учетных записей.
Существует несколько реализаций Kerberos, предназначенных для применения в системе Linux; некоторые из них проще в использовании, чем другие. Для того чтобы сконфигурировать сеть Kerberos, надо установить на всех компьютерах как минимум подмножество системы Kerberos. Один из компьютеров должен выполнять функции центра распространения ключей (key distribution center — KDC); именно на этой машине располагается база данных с информацией о пользователях. На рабочих станциях и серверах необходимо установить керберизованные версии клиентских и серверных программ. Несмотря на то что настройка этих программ требует времени и усилий, достигнутый в результате использования Kerberos более высокий уровень защиты и преимущества централизованного администрирования оправдывают затраты. В особенности это заметно в сетях среднего и большого размера.
