【正文】 長沙理工大學(xué)《Linux高級(jí)操作系統(tǒng)》課程設(shè)計(jì)報(bào)告基于Linux的用戶認(rèn)證與授權(quán)研究廖正磊學(xué) 院 計(jì)算機(jī)與通信工程 專業(yè) 計(jì)算機(jī)科學(xué)與技術(shù)班 級(jí) 計(jì)算機(jī)063班 學(xué)號(hào) 200650080309 學(xué)生姓名 廖正磊 指導(dǎo)教師 王艷華 課程成績 完成日期 2009年5月29日課程設(shè)計(jì)任務(wù)書計(jì)算機(jī)與通信工程學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 課程名稱網(wǎng)絡(luò)系統(tǒng)課程設(shè)計(jì)時(shí)間2008～2009學(xué)年第1學(xué)期19～20周學(xué)生姓名廖正磊指導(dǎo)老師王艷華題 目基于Linux的用戶認(rèn)證與授權(quán)研究主要內(nèi)容：本課程設(shè)計(jì)主要完成一個(gè)基于Linux的用戶認(rèn)證與授權(quán)的研究實(shí)現(xiàn)。重點(diǎn)分析了Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。利用可信平臺(tái)模塊（TPM）對(duì)Kerberos協(xié)議及其藍(lán)本Needham—Schroeder協(xié)議進(jìn)行了改進(jìn)，增強(qiáng)了它們的安全性。并搭建了Kerberos認(rèn)證系統(tǒng)，實(shí)現(xiàn)了用戶登錄的Kerberos認(rèn)證、網(wǎng)絡(luò)應(yīng)用的Kerberos化。要求：（1）要求能獨(dú)立地運(yùn)用程序語言和數(shù)據(jù)庫方面知識(shí)，編制一個(gè)功能簡單的小型信息模擬系統(tǒng)。（2）學(xué)生按要求編寫課程設(shè)計(jì)報(bào)告書，能正確闡述設(shè)計(jì)和實(shí)驗(yàn)結(jié)果。（3）通過課程設(shè)計(jì)培養(yǎng)學(xué)生嚴(yán)謹(jǐn)?shù)目茖W(xué)態(tài)度，認(rèn)真的工作作風(fēng)和團(tuán)隊(duì)協(xié)作精神。（4）學(xué)生應(yīng)抱著嚴(yán)謹(jǐn)認(rèn)真的態(tài)度積極投入到課程設(shè)計(jì)過程中。 應(yīng)當(dāng)提交的文件：（1）課程設(shè)計(jì)報(bào)告。（2）課程設(shè)計(jì)附件（源程序、各類圖紙、實(shí)驗(yàn)數(shù)據(jù)、運(yùn)行截圖等）。課程設(shè)計(jì)成績?cè)u(píng)定學(xué) 院 計(jì)算機(jī)與通信工程 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù)班 級(jí) 計(jì)算機(jī)063 班 學(xué) 號(hào) 200650080309 學(xué)生姓名 廖正磊 指導(dǎo)教師 王艷華 課程成績 完成日期 2009年5月22日 指導(dǎo)教師對(duì)學(xué)生在課程設(shè)計(jì)中的評(píng)價(jià)評(píng)分項(xiàng)目優(yōu)良中及格不及格課程設(shè)計(jì)中的創(chuàng)造性成果學(xué)生掌握課程內(nèi)容的程度課程設(shè)計(jì)完成情況課程設(shè)計(jì)動(dòng)手能力文字表達(dá)學(xué)習(xí)態(tài)度規(guī)范要求課程設(shè)計(jì)論文的質(zhì)量指導(dǎo)教師對(duì)課程設(shè)計(jì)的評(píng)定意見綜合成績 指導(dǎo)教師簽字 年 月 日基于Linux的用戶認(rèn)證與授權(quán)系統(tǒng)的研究實(shí)現(xiàn)學(xué)生姓名：廖正磊 指導(dǎo)老師：王艷華摘 要 本課程設(shè)計(jì)在對(duì)可信計(jì)算的體系結(jié)構(gòu)、Linux的安全機(jī)制、現(xiàn)有的認(rèn)證協(xié)議等深入研究的基礎(chǔ)上，提出了基于Linux操作系統(tǒng)的用戶認(rèn)證與應(yīng)用授權(quán)的架構(gòu)，并最終完成了整個(gè)系統(tǒng)的搭建。本文重點(diǎn)分析了Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。利用可信平臺(tái)模塊（TPM）對(duì)Kerberos協(xié)議及其藍(lán)本Needham—Schroeder協(xié)議進(jìn)行了改進(jìn)，增強(qiáng)了它們的安全性。并搭建了Kerberos認(rèn)證系統(tǒng)，實(shí)現(xiàn)了用戶登錄的Kerberos認(rèn)證、網(wǎng)絡(luò)應(yīng)用的Kerberos化；搭建了OpenLDAP目錄服務(wù)系統(tǒng)，并利用SASL機(jī)制實(shí)現(xiàn)了其與Kerberos認(rèn)證系統(tǒng)的結(jié)合。在此基礎(chǔ)上，利用OpenLDAP的訪問控制機(jī)制實(shí)現(xiàn)了對(duì)各種網(wǎng)絡(luò)應(yīng)用服務(wù)的授權(quán)訪問。利用我們編寫的客戶端應(yīng)用接口，用戶可以完成上述認(rèn)證與授權(quán)過程。該系統(tǒng)作為信息安全實(shí)踐創(chuàng)新平臺(tái)的一部分，可應(yīng)用于信息安全教學(xué)的實(shí)踐環(huán)節(jié)，還可以將其應(yīng)用于黨政機(jī)關(guān)辦公自動(dòng)化與協(xié)同辦公，保護(hù)黨政內(nèi)網(wǎng)的安全。關(guān)鍵詞 身份認(rèn)證；目錄服務(wù)；應(yīng)用授權(quán)Linuxbased user authentication and authorizationStudent name: LIAO Zhenglei Advisor：WANG YanhuaAbstract The curriculum design in the architecture of Trusted Computing, Linux security mechanisms, the existing authentication protocol, such as indepth study, based on the Linux operating system based on user authentication and authorization framework for applications, and ultimately the pletion of the entire system structures. This paper analyzes the Kerberos authentication system and LDAP directory services system message format, database management, installation configuration, configuration files, and other interface functions. The use of Trusted Platform Module (TPM) on the Kerberos protocol and the NeedhamSchroeder protocol based on improvements to enhance their security. And to set up Kerberos authentication system, the Kerberos user login authentication, the Kerberos network applications of。 build the OpenLDAP directory service system, and the use of SASL mechanisms with a bination of Kerberos authentication system. On this basis, the use of OpenLDAP access control mechanisms on the application of a variety of network services, unauthorized access. Prepared to use our client application interface, the user can plete authentication and authorization process of the above. The system of information security as part of practical innovation platform, has been applied to the practice of information security aspects of teaching, but also can be used in party and government organs of office automation and collaboration of office to protect the security of government network.Key words Authentication；Directory Service；Authorization目 錄1引言 1 1 2 22用戶認(rèn)證與授權(quán)方案概述 5 Linux的安全機(jī)制 5 Kerberos認(rèn)證系統(tǒng) 9 輕量級(jí)目錄訪問協(xié)議 103用戶認(rèn)證與授權(quán)方案的研究與實(shí)現(xiàn) 14 14 20 Kerberos認(rèn)證系統(tǒng)與OpenLDAP的結(jié)合 23 實(shí)現(xiàn)訪問控制 24 客戶端應(yīng)用接口的編寫 25參考文獻(xiàn) 28結(jié)束語 2929 / 381引言 Linux是一個(gè)類UNIX的多用戶、多任務(wù)、功能強(qiáng)大的操作系統(tǒng)。最初版本是芬蘭的Linus Torvalds于1991年獨(dú)立開發(fā)的。由于其免費(fèi)提供源代碼及可執(zhí)行文件，吸引了全世界各地的UNIX行家為其編寫了大量的驅(qū)動(dòng)程序和應(yīng)用軟件，在短短的幾年時(shí)間里，Linux迅速發(fā)展成為一個(gè)相當(dāng)完善的操作系統(tǒng)。不僅穩(wěn)定可靠，而且還具有良好的兼容性、可移植性。近幾年來，Linux操作系統(tǒng)以其高效性、靈活性以及開放性得到了蓬勃發(fā)展，不僅被廣泛應(yīng)用于PC、服務(wù)器，還廣泛的應(yīng)用于手機(jī)、PDA等高端嵌入設(shè)備。但是，目前的Linux版本在安全方面還存在著許多不足，其安全級(jí)別低于C2級(jí)。其新功能的不斷加入及安全機(jī)制的錯(cuò)誤配置或錯(cuò)誤使用，都會(huì)帶來很多問題。出于系統(tǒng)安全考慮，Linux提供的安全機(jī)制主要有:身份標(biāo)識(shí)與鑒別、文件訪問控制、特權(quán)管理、安全審計(jì)、IPC資源的訪問控制。目前，UNIX下的一種新的安全機(jī)制已被開發(fā)并且在Linux中實(shí)現(xiàn)。這種機(jī)制稱為可插入身份認(rèn)證模塊，即為PAM機(jī)制[1]。當(dāng)用戶在登錄Linux時(shí)，首先要通過系統(tǒng)的PAM驗(yàn)證。PAM機(jī)制可以用來動(dòng)態(tài)地改變身份驗(yàn)證的方法和要求，允許身份認(rèn)證模塊按需要被加載到內(nèi)核中，模塊在加入后即可用于對(duì)用戶進(jìn)行身份認(rèn)證，而不需要重新編譯其它公用程序。PAM體系結(jié)構(gòu)的模塊化設(shè)計(jì)及其定義的良好接口，使得無需改變或者干擾