【正文】 description:The CorporationOrganizational Role for Directory Managerdn:=Manager,dc=secoa,dc=objectClass:organizationalRole:Managerdescription:Directory Manager然后，使用下面的命令創(chuàng)建條目：ldapaddf “=Manager,dc=secoa,dc=”w secret本課題中采用基于PHP語言編寫的開放源代碼的phpldapadmin管理和維護OpenLDAP的數(shù)據(jù)庫。l 綁定到目錄，認證LDAP服務(wù)器調(diào)用函數(shù)ldap_bind()綁定到DN，連接至目錄服務(wù)器，ldap_bind()友好地支持各種認證方式。LDAP API的所有調(diào)用依賴于一個連接句柄，即指向一個包含所有連接信息的LDAP結(jié)構(gòu)的指針。操作能同步或異步執(zhí)行。異步操作返回操作初始化信息id。SASL認證獨立于OpenLDAP服務(wù)器，SASL認證的用戶和LDAP的所有用戶都沒有任何關(guān)系，因此，在使用SASL認證之前，首先需要在目錄/usr/lib/sasa2/,：root dn “uid=root”,接著設(shè)置SASL root用戶。本課題所設(shè)置的域為“”，則服務(wù)器上的/etc/srvtab文件將具有一個服務(wù)密鑰：當獲取了“l(fā)dap”服務(wù)ticket之后，它將被傳遞給LDAP服務(wù)器用來證明用戶的身份。 實現(xiàn)訪問控制 上述工作完成后，OpenLDAP在這個階段相當于一個支持kerberos身份驗證的普通應(yīng)用。如果用戶想要訪問一個網(wǎng)絡(luò)應(yīng)用服務(wù)，首先通過kerberos認證，登錄到LDAP，然后通過LDAP數(shù)據(jù)庫查詢他想訪問的網(wǎng)絡(luò)應(yīng)用服務(wù)的地址和端口號，LDAP會通過ACL驗證他是否有權(quán)限訪問該項目。 客戶端應(yīng)用接口的編寫本課程設(shè)計所編寫的客戶端應(yīng)用接口提供的主要功能為：首先通過kerberos認證，接著是一段訪問LDAP目錄服務(wù)的代碼，取到必要的訪問信息，然后可以連接到具有訪問權(quán)限的網(wǎng)絡(luò)應(yīng)用服務(wù)。參考文獻[1]／Linux操作系統(tǒng)安全（二）.,[2]劉海燕，王子強，[3]郭學理，劉冬梅，.，[4]李毅，[5]鄭嵐，[6]，[7]林鄧偉，[8]李中獻，詹榜華，[9]李棟，結(jié)束語本文在對可信計算的體系結(jié)構(gòu)、現(xiàn)有的認證協(xié)議、Linux的安全機制等深入研究的基礎(chǔ)上，提出了基于Linux操作系統(tǒng)的用戶登錄認證與應(yīng)用授權(quán)的架構(gòu)。接著在對比分析現(xiàn)有認證機制的基礎(chǔ)上，采用Kerberos認證系統(tǒng)作為認證策略，分析了Kerberos的系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫管理等，最后，對其局限性進行了分析并基于可信平臺模塊(TPM)提出了改進方案。搭建了Kerberos認證系統(tǒng)，實現(xiàn)了用戶登錄的Kerberos認證、網(wǎng)絡(luò)應(yīng)用的Kerberos化；搭建了OpenLDAP目錄服務(wù)系統(tǒng)，并利用SASL機制實現(xiàn)了其與Kerberos認證系統(tǒng)的結(jié)合。利用課題所編寫的客戶端應(yīng)用接口，用戶可以完成上述認證與授權(quán)過程。本文詳細分析了LDAP的協(xié)議模型、數(shù)據(jù)模型、數(shù)據(jù)訪問操作、安全機制、系統(tǒng)實現(xiàn)等，最終采用開放源代碼的OpenLDAP實現(xiàn)目錄服務(wù)功能。本文首先研究分析了Linux內(nèi)部的可插入式認證模塊（PAM）的運行原理、組成部分及其應(yīng)用實例，特別是其內(nèi)部的用戶登錄認證與應(yīng)用授權(quán)模塊，同時，研究如何利用該機制實現(xiàn)可信第三方的認證。OpenLDAP目錄服務(wù)器通過其訪問控制列表（ACL）驗證用戶是否有權(quán)限訪問所要訪問的網(wǎng)絡(luò)應(yīng)用服務(wù)，若ACL允許用戶訪問該網(wǎng)絡(luò)應(yīng)用，用戶就可以獲得必要的訪問信息，可以實現(xiàn)對該網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問，否則，用戶不能獲得訪問某種網(wǎng)絡(luò)應(yīng)用服務(wù)的權(quán)限。反之，LDAP會拒絕該用戶的訪問。OpenLDAP定義的訪問控制語法的最基本形式是：Access toWhat[ByWhoAccessControl]其中，What定義訪問的資源，可以是：*：所有目錄項DN：某一個目錄項Filter：某一類目錄項After:每個目錄項的某一個屬性Who定義訪問資源的用戶，可以是：*：所有目錄項Self：目錄項本身用戶Anonymous：匿名用戶User：經(jīng)過認證的用戶、或按目錄項屬性確定的用戶等Access定義該用戶具有什么權(quán)限，可以是：None：沒有權(quán)利Auth：必須綁定Compare：比較Search：查找Read：讀Write：寫這些權(quán)限有包含關(guān)系，如果用戶具有Write權(quán)利，其必然具有Auth、Compare、Search、Read權(quán)限。登錄到LDAP服務(wù)器后，LDAP會通過ACL驗證它是否有權(quán)限訪問該項目，實現(xiàn)應(yīng)用授權(quán)。命令如下：/usr/sbin/saslpasswd root，之后可以設(shè)置用戶密碼。通過調(diào)用ldap_abandon()函數(shù)可以丟棄異步操作。例如，調(diào)用dap_search_s()實現(xiàn)同步查詢，調(diào)用ldap_search()實現(xiàn)異步查詢。LDAP操作為這一結(jié)構(gòu)提供語法分析，逐步分析返回的目錄項或?qū)傩缘?。如通常使用ldap_search()函數(shù)及相應(yīng)的參數(shù)發(fā)送搜索請求，其函數(shù)返回值能被ldap_first_entry(),ldap_next_entry()等函數(shù)解析。應(yīng)用編程接口APIOpenLDAP的API函數(shù)支持LDAP V3的編程應(yīng)用，通過API函數(shù)實現(xiàn)客戶端與服務(wù)器的交互。此處指定的DN和口令總是能夠工作，無論該條目的名稱實際上是否存在，或者無論其口令是什么。本課題設(shè)置域名為“”，則為：suffix“dc=secoa,dc=”同時，確保指定了索引文件應(yīng)該被創(chuàng)建的目錄：directorydirectory，應(yīng)該使得目錄具有正確的權(quán)限，使得slapd可以寫入。第二種創(chuàng)建數(shù)據(jù)庫的方法是使用slapd提供的特殊的應(yīng)用程序脫機執(zhí)行。slapd提供目錄服務(wù)，slurpd用于根據(jù)目錄服務(wù)器日志的變化將目錄更新信息復(fù)制到從屬目錄服務(wù)器上。將telnet和ftp等網(wǎng)絡(luò)應(yīng)用服務(wù)Kerberos化后，用戶需要通過kinit命令來獲得Kerberos初始票據(jù)，利用Kerberos作為可信任的第三方認證系統(tǒng)，為不安全的網(wǎng)絡(luò)環(huán)境提供了較為可靠的用戶認證方式。l kftp應(yīng)用服務(wù)在Kftp應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運行在提供服務(wù)的機器上，等待來自客戶方的服務(wù)請求。本課程設(shè)計中，將Kerberos化的ktelnet、ftp服務(wù)分別簡稱為ktelnet、kftp，分析如下：l ktelnet應(yīng)用服務(wù)在ktelnet應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運行在提供服務(wù)的機器上，等待來自客戶方的服務(wù)請求。⑵在Kerberos服務(wù)器上定義應(yīng)用服務(wù)的主體標識，分配密鑰并加入到密鑰庫中。krb5_rd_priv()此函數(shù)用來分析輸入緩沖區(qū)里的KRB_PRIV格式的消息。krb5_recvauth()此函數(shù)與krb5_sendauth()搭配使用，服務(wù)器用來接收來自客戶的信息并向客戶提供認證應(yīng)答信息。krb5_rd_req()此函數(shù)用來分析一個KRB_AP_REQ信息，并返回其內(nèi)容。krb5_cc_remove_cred()此函數(shù)用來銷毀指定主體名的證書。l 證書緩存函數(shù)Krb5_cc_resolve()此函數(shù)用來把字符串格式的名字轉(zhuǎn)化為相應(yīng)的ID，并添寫相關(guān)信息。krb5_auth_con_free(/*IN/OUT*/krb5_auth_context*auth_context)此函數(shù)用來釋放由krb5_auth_con_init函數(shù)返回的認證內(nèi)容auth_context。在此context中的數(shù)據(jù)應(yīng)該用krb5_free_context()來釋放。l krb5_context用來代表任意進程的狀態(tài)。⑵在Kerberos數(shù)據(jù)庫里增加系統(tǒng)管理員，要增加的管理員主體應(yīng)是ACL文件中的主體。stash文件是加密格式駐留在KDC內(nèi)部磁盤上的master key的復(fù)制，它是在kadmind和krb5kdc守護進程啟動之前自動認證KDC的。此時，還未將Kerberos集成到域名解析服務(wù)器DNS。首先，使用GNU自動配置工具(autoconf)進行安裝。OpenLDAP目錄服務(wù)系統(tǒng)完成用戶信息的存儲以及相應(yīng)權(quán)限的設(shè)置。OpenLDAP也提供自己的訪問控制機制。OpenLDAP支持模式訪問控制和模式擴展，但是不支持動態(tài)模式擴展，無法在運行時擴展模式，只能通過修改服務(wù)器的配置文件來實現(xiàn)。條目的名稱由一個或多個屬性組成，稱為相對識別名,此為條目在根節(jié)點下的唯一名稱標識，用來區(qū)別與它同級別的條目。為了提高效率，在LDAPV3中，允許服務(wù)器將指向它的服務(wù)器的參考指針返回給客戶端，由客戶端自己去查找。在此協(xié)議模型中，LDAP客戶端通過TCP/IP的系統(tǒng)平臺和LDAP服務(wù)器保持連接，這樣任何支持TCP/IP的系統(tǒng)平臺都能安裝LDAP客戶端。 Kerberos認證系統(tǒng)結(jié)構(gòu)及其協(xié)議過程 輕量級目錄訪問協(xié)議在Kerberos域內(nèi)，Kerberos系統(tǒng)可以提供認證服務(wù)，系統(tǒng)內(nèi)的訪問權(quán)限和授權(quán)則需要通過其他途徑來解決。1990年推出Version 5進一步對Version 4中的某些安全缺陷做了改進，不僅完善了Version 4所采用的基于DES的加密算法，而且還采用獨立的加密模塊，允許用戶根據(jù)自己的實際需要選擇其它的加密算法，使得安全性得到了進一步的提高。 Kerberos認證系統(tǒng)Kerberos認證協(xié)議是一種應(yīng)用于開放式網(wǎng)絡(luò)環(huán)境、基于可信任第三方的TCP/IP網(wǎng)絡(luò)認證協(xié)議，可以在不安全的網(wǎng)絡(luò)環(huán)境中為用戶對遠程服務(wù)器的訪問提供自動鑒別、數(shù)據(jù)安全性和完整性服務(wù)、以及密鑰管理服務(wù)。但這種方法硬件投入較大，不管是客戶端的智能卡，還是服務(wù)器端的讀卡設(shè)備，造價都較高，因而限制了它的普遍性。用戶訪問系統(tǒng)時必須持有該智能卡。但這種方案造價較高，適用