【正文】 description:The CorporationOrganizational Role for Directory Managerdn:=Manager,dc=secoa,dc=objectClass:organizationalRole:Managerdescription:Directory Manager然后，使用下面的命令創(chuàng)建條目：ldapaddf “=Manager,dc=secoa,dc=”w secret本課題中采用基于PHP語(yǔ)言編寫(xiě)的開(kāi)放源代碼的phpldapadmin管理和維護(hù)OpenLDAP的數(shù)據(jù)庫(kù)。l 綁定到目錄，認(rèn)證LDAP服務(wù)器調(diào)用函數(shù)ldap_bind()綁定到DN，連接至目錄服務(wù)器，ldap_bind()友好地支持各種認(rèn)證方式。LDAP API的所有調(diào)用依賴于一個(gè)連接句柄，即指向一個(gè)包含所有連接信息的LDAP結(jié)構(gòu)的指針。操作能同步或異步執(zhí)行。異步操作返回操作初始化信息id。SASL認(rèn)證獨(dú)立于OpenLDAP服務(wù)器，SASL認(rèn)證的用戶和LDAP的所有用戶都沒(méi)有任何關(guān)系，因此，在使用SASL認(rèn)證之前，首先需要在目錄/usr/lib/sasa2/,：root dn “uid=root”,接著設(shè)置SASL root用戶。本課題所設(shè)置的域?yàn)椤啊?，則服務(wù)器上的/etc/srvtab文件將具有一個(gè)服務(wù)密鑰：當(dāng)獲取了“l(fā)dap”服務(wù)ticket之后，它將被傳遞給LDAP服務(wù)器用來(lái)證明用戶的身份。 實(shí)現(xiàn)訪問(wèn)控制 上述工作完成后，OpenLDAP在這個(gè)階段相當(dāng)于一個(gè)支持kerberos身份驗(yàn)證的普通應(yīng)用。如果用戶想要訪問(wèn)一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)，首先通過(guò)kerberos認(rèn)證，登錄到LDAP，然后通過(guò)LDAP數(shù)據(jù)庫(kù)查詢他想訪問(wèn)的網(wǎng)絡(luò)應(yīng)用服務(wù)的地址和端口號(hào)，LDAP會(huì)通過(guò)ACL驗(yàn)證他是否有權(quán)限訪問(wèn)該項(xiàng)目。 客戶端應(yīng)用接口的編寫(xiě)本課程設(shè)計(jì)所編寫(xiě)的客戶端應(yīng)用接口提供的主要功能為：首先通過(guò)kerberos認(rèn)證，接著是一段訪問(wèn)LDAP目錄服務(wù)的代碼，取到必要的訪問(wèn)信息，然后可以連接到具有訪問(wèn)權(quán)限的網(wǎng)絡(luò)應(yīng)用服務(wù)。參考文獻(xiàn)[1]／Linux操作系統(tǒng)安全（二）.,[2]劉海燕，王子強(qiáng)，[3]郭學(xué)理，劉冬梅，.，[4]李毅，[5]鄭嵐，[6]，[7]林鄧偉，[8]李中獻(xiàn)，詹榜華，[9]李棟，結(jié)束語(yǔ)本文在對(duì)可信計(jì)算的體系結(jié)構(gòu)、現(xiàn)有的認(rèn)證協(xié)議、Linux的安全機(jī)制等深入研究的基礎(chǔ)上，提出了基于Linux操作系統(tǒng)的用戶登錄認(rèn)證與應(yīng)用授權(quán)的架構(gòu)。接著在對(duì)比分析現(xiàn)有認(rèn)證機(jī)制的基礎(chǔ)上，采用Kerberos認(rèn)證系統(tǒng)作為認(rèn)證策略，分析了Kerberos的系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫(kù)管理等，最后，對(duì)其局限性進(jìn)行了分析并基于可信平臺(tái)模塊(TPM)提出了改進(jìn)方案。搭建了Kerberos認(rèn)證系統(tǒng)，實(shí)現(xiàn)了用戶登錄的Kerberos認(rèn)證、網(wǎng)絡(luò)應(yīng)用的Kerberos化；搭建了OpenLDAP目錄服務(wù)系統(tǒng)，并利用SASL機(jī)制實(shí)現(xiàn)了其與Kerberos認(rèn)證系統(tǒng)的結(jié)合。利用課題所編寫(xiě)的客戶端應(yīng)用接口，用戶可以完成上述認(rèn)證與授權(quán)過(guò)程。本文詳細(xì)分析了LDAP的協(xié)議模型、數(shù)據(jù)模型、數(shù)據(jù)訪問(wèn)操作、安全機(jī)制、系統(tǒng)實(shí)現(xiàn)等，最終采用開(kāi)放源代碼的OpenLDAP實(shí)現(xiàn)目錄服務(wù)功能。本文首先研究分析了Linux內(nèi)部的可插入式認(rèn)證模塊（PAM）的運(yùn)行原理、組成部分及其應(yīng)用實(shí)例，特別是其內(nèi)部的用戶登錄認(rèn)證與應(yīng)用授權(quán)模塊，同時(shí)，研究如何利用該機(jī)制實(shí)現(xiàn)可信第三方的認(rèn)證。OpenLDAP目錄服務(wù)器通過(guò)其訪問(wèn)控制列表（ACL）驗(yàn)證用戶是否有權(quán)限訪問(wèn)所要訪問(wèn)的網(wǎng)絡(luò)應(yīng)用服務(wù)，若ACL允許用戶訪問(wèn)該網(wǎng)絡(luò)應(yīng)用，用戶就可以獲得必要的訪問(wèn)信息，可以實(shí)現(xiàn)對(duì)該網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問(wèn)，否則，用戶不能獲得訪問(wèn)某種網(wǎng)絡(luò)應(yīng)用服務(wù)的權(quán)限。反之，LDAP會(huì)拒絕該用戶的訪問(wèn)。OpenLDAP定義的訪問(wèn)控制語(yǔ)法的最基本形式是：Access toWhat[ByWhoAccessControl]其中，What定義訪問(wèn)的資源，可以是：*：所有目錄項(xiàng)DN：某一個(gè)目錄項(xiàng)Filter：某一類(lèi)目錄項(xiàng)After:每個(gè)目錄項(xiàng)的某一個(gè)屬性Who定義訪問(wèn)資源的用戶，可以是：*：所有目錄項(xiàng)Self：目錄項(xiàng)本身用戶Anonymous：匿名用戶User：經(jīng)過(guò)認(rèn)證的用戶、或按目錄項(xiàng)屬性確定的用戶等Access定義該用戶具有什么權(quán)限，可以是：None：沒(méi)有權(quán)利Auth：必須綁定Compare：比較Search：查找Read：讀Write：寫(xiě)這些權(quán)限有包含關(guān)系，如果用戶具有Write權(quán)利，其必然具有Auth、Compare、Search、Read權(quán)限。登錄到LDAP服務(wù)器后，LDAP會(huì)通過(guò)ACL驗(yàn)證它是否有權(quán)限訪問(wèn)該項(xiàng)目，實(shí)現(xiàn)應(yīng)用授權(quán)。命令如下：/usr/sbin/saslpasswd root，之后可以設(shè)置用戶密碼。通過(guò)調(diào)用ldap_abandon()函數(shù)可以丟棄異步操作。例如，調(diào)用dap_search_s()實(shí)現(xiàn)同步查詢，調(diào)用ldap_search()實(shí)現(xiàn)異步查詢。LDAP操作為這一結(jié)構(gòu)提供語(yǔ)法分析，逐步分析返回的目錄項(xiàng)或?qū)傩缘?。如通常使用ldap_search()函數(shù)及相應(yīng)的參數(shù)發(fā)送搜索請(qǐng)求，其函數(shù)返回值能被ldap_first_entry(),ldap_next_entry()等函數(shù)解析。應(yīng)用編程接口APIOpenLDAP的API函數(shù)支持LDAP V3的編程應(yīng)用，通過(guò)API函數(shù)實(shí)現(xiàn)客戶端與服務(wù)器的交互。此處指定的DN和口令總是能夠工作，無(wú)論該條目的名稱實(shí)際上是否存在，或者無(wú)論其口令是什么。本課題設(shè)置域名為“”，則為：suffix“dc=secoa,dc=”同時(shí)，確保指定了索引文件應(yīng)該被創(chuàng)建的目錄：directorydirectory，應(yīng)該使得目錄具有正確的權(quán)限，使得slapd可以寫(xiě)入。第二種創(chuàng)建數(shù)據(jù)庫(kù)的方法是使用slapd提供的特殊的應(yīng)用程序脫機(jī)執(zhí)行。slapd提供目錄服務(wù)，slurpd用于根據(jù)目錄服務(wù)器日志的變化將目錄更新信息復(fù)制到從屬目錄服務(wù)器上。將telnet和ftp等網(wǎng)絡(luò)應(yīng)用服務(wù)Kerberos化后，用戶需要通過(guò)kinit命令來(lái)獲得Kerberos初始票據(jù)，利用Kerberos作為可信任的第三方認(rèn)證系統(tǒng)，為不安全的網(wǎng)絡(luò)環(huán)境提供了較為可靠的用戶認(rèn)證方式。l kftp應(yīng)用服務(wù)在Kftp應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運(yùn)行在提供服務(wù)的機(jī)器上，等待來(lái)自客戶方的服務(wù)請(qǐng)求。本課程設(shè)計(jì)中，將Kerberos化的ktelnet、ftp服務(wù)分別簡(jiǎn)稱為ktelnet、kftp，分析如下：l ktelnet應(yīng)用服務(wù)在ktelnet應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運(yùn)行在提供服務(wù)的機(jī)器上，等待來(lái)自客戶方的服務(wù)請(qǐng)求。⑵在Kerberos服務(wù)器上定義應(yīng)用服務(wù)的主體標(biāo)識(shí)，分配密鑰并加入到密鑰庫(kù)中。krb5_rd_priv()此函數(shù)用來(lái)分析輸入緩沖區(qū)里的KRB_PRIV格式的消息。krb5_recvauth()此函數(shù)與krb5_sendauth()搭配使用，服務(wù)器用來(lái)接收來(lái)自客戶的信息并向客戶提供認(rèn)證應(yīng)答信息。krb5_rd_req()此函數(shù)用來(lái)分析一個(gè)KRB_AP_REQ信息，并返回其內(nèi)容。krb5_cc_remove_cred()此函數(shù)用來(lái)銷(xiāo)毀指定主體名的證書(shū)。l 證書(shū)緩存函數(shù)Krb5_cc_resolve()此函數(shù)用來(lái)把字符串格式的名字轉(zhuǎn)化為相應(yīng)的ID，并添寫(xiě)相關(guān)信息。krb5_auth_con_free(/*IN/OUT*/krb5_auth_context*auth_context)此函數(shù)用來(lái)釋放由krb5_auth_con_init函數(shù)返回的認(rèn)證內(nèi)容auth_context。在此context中的數(shù)據(jù)應(yīng)該用krb5_free_context()來(lái)釋放。l krb5_context用來(lái)代表任意進(jìn)程的狀態(tài)。⑵在Kerberos數(shù)據(jù)庫(kù)里增加系統(tǒng)管理員，要增加的管理員主體應(yīng)是ACL文件中的主體。stash文件是加密格式駐留在KDC內(nèi)部磁盤(pán)上的master key的復(fù)制，它是在kadmind和krb5kdc守護(hù)進(jìn)程啟動(dòng)之前自動(dòng)認(rèn)證KDC的。此時(shí)，還未將Kerberos集成到域名解析服務(wù)器DNS。首先，使用GNU自動(dòng)配置工具(autoconf)進(jìn)行安裝。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲(chǔ)以及相應(yīng)權(quán)限的設(shè)置。OpenLDAP也提供自己的訪問(wèn)控制機(jī)制。OpenLDAP支持模式訪問(wèn)控制和模式擴(kuò)展，但是不支持動(dòng)態(tài)模式擴(kuò)展，無(wú)法在運(yùn)行時(shí)擴(kuò)展模式，只能通過(guò)修改服務(wù)器的配置文件來(lái)實(shí)現(xiàn)。條目的名稱由一個(gè)或多個(gè)屬性組成，稱為相對(duì)識(shí)別名,此為條目在根節(jié)點(diǎn)下的唯一名稱標(biāo)識(shí)，用來(lái)區(qū)別與它同級(jí)別的條目。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針?lè)祷亟o客戶端，由客戶端自己去查找。在此協(xié)議模型中，LDAP客戶端通過(guò)TCP/IP的系統(tǒng)平臺(tái)和LDAP服務(wù)器保持連接，這樣任何支持TCP/IP的系統(tǒng)平臺(tái)都能安裝LDAP客戶端。 Kerberos認(rèn)證系統(tǒng)結(jié)構(gòu)及其協(xié)議過(guò)程 輕量級(jí)目錄訪問(wèn)協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認(rèn)證服務(wù)，系統(tǒng)內(nèi)的訪問(wèn)權(quán)限和授權(quán)則需要通過(guò)其他途徑來(lái)解決。1990年推出Version 5進(jìn)一步對(duì)Version 4中的某些安全缺陷做了改進(jìn)，不僅完善了Version 4所采用的基于DES的加密算法，而且還采用獨(dú)立的加密模塊，允許用戶根據(jù)自己的實(shí)際需要選擇其它的加密算法，使得安全性得到了進(jìn)一步的提高。 Kerberos認(rèn)證系統(tǒng)Kerberos認(rèn)證協(xié)議是一種應(yīng)用于開(kāi)放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認(rèn)證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對(duì)遠(yuǎn)程服務(wù)器的訪問(wèn)提供自動(dòng)鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。但這種方法硬件投入較大，不管是客戶端的智能卡，還是服務(wù)器端的讀卡設(shè)備，造價(jià)都較高，因而限制了它的普遍性。用戶訪問(wèn)系統(tǒng)時(shí)必須持有該智能卡。但這種方案造價(jià)較高，適用