【正文】 數(shù)據(jù)模型LDAP是以樹狀方式組織信息，稱為目錄信息樹。至今，Kerberos系統(tǒng)已有五個(gè)版本，其中Version1到Version 3是在實(shí)驗(yàn)室里開發(fā)和測(cè)試的。這些個(gè)人特征是每個(gè)用戶特有的，且在一定時(shí)期內(nèi)不會(huì)改變，如指紋、聲音、視網(wǎng)膜、DNA圖案等[8]。本課程設(shè)計(jì)重點(diǎn)研究Linux的安全機(jī)制用戶身份認(rèn)證機(jī)制，對(duì)其認(rèn)證方式與相關(guān)的認(rèn)證協(xié)議進(jìn)行了詳細(xì)的分析。層次結(jié)構(gòu)：可插入式認(rèn)證模塊(PAM)機(jī)制采用模塊化設(shè)計(jì)和插件功能，提供有關(guān)執(zhí)行用戶認(rèn)證與賬號(hào)維護(hù)的服務(wù)。該架構(gòu)運(yùn)行在操作系統(tǒng)為Linux的主機(jī)上，提供基本的Kerberos登錄認(rèn)證服務(wù)，以及Kerberos化的遠(yuǎn)程登錄服務(wù)（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡(luò)應(yīng)用服務(wù)。同時(shí)，伴隨著其軟件的優(yōu)化、升級(jí)，Kerberos認(rèn)證系統(tǒng)的應(yīng)用將會(huì)越來越廣泛。由于其免費(fèi)提供源代碼及可執(zhí)行文件，吸引了全世界各地的UNIX行家為其編寫了大量的驅(qū)動(dòng)程序和應(yīng)用軟件，在短短的幾年時(shí)間里，Linux迅速發(fā)展成為一個(gè)相當(dāng)完善的操作系統(tǒng)。要求：（1）要求能獨(dú)立地運(yùn)用程序語言和數(shù)據(jù)庫方面知識(shí)，編制一個(gè)功能簡單的小型信息模擬系統(tǒng)。本文重點(diǎn)分析了Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。這種機(jī)制稱為可插入身份認(rèn)證模塊，即為PAM機(jī)制[1]。用戶在登錄Linux操作系統(tǒng)時(shí)，首先要通過系統(tǒng)的PAM進(jìn)行驗(yàn)證。研究Kerberos認(rèn)證系統(tǒng)，包括其系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫創(chuàng)建與管理、應(yīng)用接口函數(shù)等，并研究如何將其配置在所選操作系統(tǒng)“華擂Linux”的PAM模塊中。系統(tǒng)管理員通過PAM配置文件來制定不同應(yīng)用程序的不同認(rèn)證策略，當(dāng)應(yīng)用程序調(diào)用PAM API時(shí)，加載相應(yīng)的PAM服務(wù)模塊。可信第三方證實(shí)發(fā)送方的身份，并回送一個(gè)證明信息（證書或是票據(jù)），從而保證發(fā)送方身份的真實(shí)性?；谥悄芸ǖ恼J(rèn)證方式是一種雙因子的認(rèn)證方式(PIN+智能卡)。輕量級(jí)目錄訪問協(xié)議（LDAP）使用基于訪問控制策略語句的訪問控制列表（Access Control List,ACL）來實(shí)現(xiàn)訪問控制與應(yīng)用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫和應(yīng)用系統(tǒng)，訪問控制異常靈活和豐富。OpenLDAP通過配置文件中的referral指令字實(shí)現(xiàn)到其他命名上下文或其他LDAP服務(wù)器的引用。Kerberos系統(tǒng)使用時(shí)間戳來防止重放攻擊，因此，還需要設(shè)置時(shí)間同步服務(wù)器ntp server，需要在配置文件中添加與其同步的機(jī)器的IP地址，如下：server server 、用于該域的KDC以及管理服務(wù)器的位置、用于當(dāng)前域和Kerberos的缺省設(shè)置以及將主機(jī)名映射到Kerberos域的設(shè)置。krb5_free_context(/*IN/OUT*/krb5_context context)此函數(shù)用來釋放通過krb5_init_context()返回的context。krb5_mk_rep()此函數(shù)用來格式化并加密一個(gè)KRB_AP_REP信息。當(dāng)用戶鍵入krb5telnet后，客戶端程序就開始在本地系統(tǒng)上運(yùn)行，執(zhí)行下述動(dòng)作：⑴根據(jù)提供給telnet命令的遠(yuǎn)程主機(jī)地址參數(shù)獲得相應(yīng)服務(wù)器主體信息；⑵獲得用戶的Kerberos證書文件信息及訪問ktelnet的票據(jù)信息；⑶創(chuàng)建一個(gè)與遠(yuǎn)程登錄服務(wù)器的TCP網(wǎng)絡(luò)連接；⑷將Kerberos認(rèn)證信息傳送給服務(wù)方；⑸接收來自服務(wù)方的認(rèn)證應(yīng)答信息，認(rèn)證成功則繼續(xù)正常的會(huì)話。本課題采用第一種方法創(chuàng)建數(shù)據(jù)庫。l 關(guān)閉連接調(diào)用函數(shù)ldap_unbind()即關(guān)閉本次連接。用戶如果想要訪問某種未進(jìn)行Kerberos化的某種網(wǎng)絡(luò)應(yīng)用服務(wù)，過程如下：支持SASL的客戶端程序首先通過kerberos認(rèn)證，將獲取一個(gè)帶有該用戶的ticket granting ticket(TGT)的“l(fā)dap”服務(wù)ticket，并且該ticket匹配OpenLDAP服務(wù)器的主機(jī)名。這樣，利用本課程設(shè)計(jì)所架構(gòu)的系統(tǒng)，可以統(tǒng)一管理用戶對(duì)各種應(yīng)用的訪問，實(shí)現(xiàn)了用戶的認(rèn)證與應(yīng)用的授權(quán)。由于時(shí)間倉促以及自己水平有限，該課程設(shè)計(jì)尚有一些問題有待深入：本課題的研究和系統(tǒng)的架構(gòu)都是基于Kerberos的域內(nèi)認(rèn)證，對(duì)于Kerberos的跨域認(rèn)證研究較少，并未具體實(shí)現(xiàn)；本課題所建立的OpenLDAP的網(wǎng)絡(luò)應(yīng)用服務(wù)的信息模型、創(chuàng)建的訪問控制列表較為簡單，用戶授權(quán)機(jī)制還需要進(jìn)一步的擴(kuò)展；基于Linux的用戶認(rèn)證與應(yīng)用授權(quán)研究已取得了初步的成果，其關(guān)鍵技術(shù)及難點(diǎn)問題還需要不斷的探索。這樣就可以實(shí)現(xiàn)通過LDAP統(tǒng)一管理用戶對(duì)各種網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問，從而實(shí)現(xiàn)用戶的認(rèn)證與應(yīng)用的授權(quán)。：圖 Kerberos認(rèn)證系統(tǒng)與OpenLDAP的結(jié)合 利用SASL認(rèn)證框架，可以將Kerberos認(rèn)證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)結(jié)合在一起。一個(gè)應(yīng)用調(diào)用LDAPAPI一般有以下四步：l 打開一個(gè)到LDAP服務(wù)器的連接調(diào)用ldap_init()函數(shù)創(chuàng)建一個(gè)到服務(wù)器的連接，該函數(shù)返回一個(gè)連接句柄，允許立即建立多聯(lián)接。： OpenLDAP的體系結(jié)構(gòu)數(shù)據(jù)庫的創(chuàng)建與管理 首先，可以聯(lián)機(jī)使用LDAP來創(chuàng)建數(shù)據(jù)庫。⑶在網(wǎng)絡(luò)應(yīng)用服務(wù)器運(yùn)行的主機(jī)上保留一份root只讀的密鑰文件。l 其它全局性應(yīng)用函數(shù)krb5_get_credentials()此函數(shù)為使用證書緩存或TGS交換來獲得一張額外的票據(jù)。在這個(gè)結(jié)構(gòu)里存儲(chǔ)全局參數(shù)，包括缺省域、缺省加密類型、缺省配置文件等。安裝完畢后，系統(tǒng)必須先建立起相關(guān)的Kerberos配置文件，從而使系統(tǒng)能夠到指定的文件里讀取配置信息。從一個(gè)條目到根的直接下級(jí)條目的RDN序列組成該條目的識(shí)別名（Distinguishe Name,DN），DN是該條目在整個(gè)樹中的唯一名稱標(biāo)識(shí)。目前Kerberos V5已經(jīng)被IETF正式命名為RFC1510。l 基于智能卡的認(rèn)證智能卡是由一個(gè)或多個(gè)集成電路芯片組成的集成電路卡。該機(jī)制比較簡單，可以利用雙方的共享信息，如口令等進(jìn)行身份的認(rèn)證。應(yīng)用程序只需調(diào)用應(yīng)用編程接口API即可方便的使用PAM提供的各種認(rèn)證功能，而不必了解太多的底層細(xì)節(jié)。根據(jù)所提出的架構(gòu)，在“華鐳Linux操作系統(tǒng)”下配置各個(gè)相關(guān)模塊，同時(shí)編程實(shí)現(xiàn)客戶端用戶認(rèn)證的接口函數(shù)，使得用戶可以調(diào)用該接口函數(shù)完成登錄某種網(wǎng)絡(luò)應(yīng)用服務(wù)的認(rèn)證。目前，LDAP已經(jīng)成為Internet上目錄服務(wù)的標(biāo)準(zhǔn)協(xié)議。但是，目前的Linux版本在安全方面還存在著許多不足，其安全級(jí)別低于C2級(jí)。（4）學(xué)生應(yīng)抱著嚴(yán)謹(jǐn)認(rèn)真的態(tài)度積極投入到課程設(shè)計(jì)過程中。 應(yīng)當(dāng)提交的文件：（1）課程設(shè)計(jì)報(bào)告。其新功能的不斷加入及安全機(jī)制的錯(cuò)誤配置或錯(cuò)誤使用，都會(huì)帶來很多問題。已有包括微軟、IBM在內(nèi)的幾十家大型軟件公司采用了LDAP技術(shù)。本課程設(shè)計(jì)的理論研究情況列舉如下：Linux操作系統(tǒng)相關(guān)的理論知識(shí)，包括其組成模塊、內(nèi)部已有的安全機(jī)制、安全缺陷及其安全需求等。PAM模塊化的體系結(jié)構(gòu)，可以集成范圍廣泛的認(rèn)證機(jī)制，輕易地做到認(rèn)證應(yīng)需而改變，使得軟件的定制、維持和升級(jí)更加輕松。如果通信雙方?jīng)]有共享信息，可以采用零知識(shí)證明技術(shù)進(jìn)行認(rèn)證。集成電路中的微處理器和存儲(chǔ)器使智能卡具有數(shù)據(jù)存儲(chǔ)和處理的能力。協(xié)議原理：在Kerberos協(xié)議過程中，發(fā)起認(rèn)證服務(wù)的通信方稱為客戶端，客戶端需要訪問的對(duì)象稱為應(yīng)用服務(wù)器。DN的每一個(gè)RDN對(duì)應(yīng)DIT的一個(gè)分支，從Root一直到目錄條目。它使用幾個(gè)端口進(jìn)行密鑰的分發(fā)和管理，需要在Linux系統(tǒng)的/etc/services文件末尾增加Kerberos使用的端口號(hào)。此函數(shù)提供了對(duì)存儲(chǔ)在context結(jié)構(gòu)里的數(shù)據(jù)的訪問，而這些數(shù)據(jù)是不能被開發(fā)人員直接訪問的。krb5_get_in_tkt()客戶利用此函數(shù)獲得使用某種服務(wù)的初始票據(jù)。⑷將網(wǎng)絡(luò)應(yīng)用添加到超級(jí)服務(wù)器INETD里，取代原來不安全的應(yīng)用服務(wù)。通過這種方法，只需要簡單的啟動(dòng)slapd，然后使用LDAP客戶端向其中增加條目。l 綁定到目錄，認(rèn)證LDAP服務(wù)器調(diào)用函數(shù)ldap_bind()綁定到DN，連接至目錄服務(wù)器，ldap_bind()友好地支持各種認(rèn)證方式。SASL認(rèn)證獨(dú)立于OpenLDAP服務(wù)器，SASL認(rèn)證的用戶和LDAP的所有用戶都沒有任何關(guān)系，因此，在使用SASL認(rèn)證之前，首先需要在目錄/usr/lib/sasa2/,：root dn “uid=root”,接著設(shè)置SASL root用戶。 客戶端應(yīng)用接口的編寫本課程設(shè)計(jì)所編寫的客戶端應(yīng)用接口提供的主要功能為：首先通過kerberos認(rèn)證，接著是一段訪問LDAP目錄服務(wù)的代碼，取到必要的訪問信息，然后可以連接到具有訪問權(quán)限的網(wǎng)絡(luò)應(yīng)用服務(wù)。OpenLDAP目錄服務(wù)器通過其訪問控制列表（ACL）驗(yàn)證用戶是否有權(quán)限訪問所要訪問的網(wǎng)絡(luò)應(yīng)用服務(wù)，若ACL允許用戶訪問該網(wǎng)絡(luò)應(yīng)用，用戶就可以獲得必要的訪問信息，可以實(shí)現(xiàn)對(duì)該網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問，否則，用戶不能獲得訪問某種網(wǎng)絡(luò)應(yīng)用服務(wù)的權(quán)限。命令如下：/usr/sbin/saslpasswd root，之后可以設(shè)置用戶密碼。如通常使用ldap_search()函數(shù)及相應(yīng)的參數(shù)發(fā)送搜索請(qǐng)求，其函數(shù)返回值能被ldap_first_entry(),ldap_next_entry()等函數(shù)解析。第二種創(chuàng)建數(shù)據(jù)庫的方法是使用slapd提供的特殊的應(yīng)用程序脫機(jī)執(zhí)行。本課程設(shè)計(jì)中，將Kerberos化的ktelnet、ftp服務(wù)分別簡稱為ktelnet、kftp，分析如下：l ktelnet應(yīng)用服務(wù)在ktelnet應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運(yùn)行在提供服務(wù)的機(jī)器上，等待來自客戶方的服務(wù)請(qǐng)求。krb5_rd_req()此函數(shù)用來分析一個(gè)KRB_AP_REQ信息，并返回其內(nèi)容。在此context中的數(shù)據(jù)應(yīng)該用krb5_free_context()來釋放。此時(shí)，還未將Kerberos集成到域名解析服務(wù)器DNS。OpenLDAP支持模式訪問控制和模式擴(kuò)展，但是不支持動(dòng)態(tài)模式擴(kuò)展，無法在運(yùn)行時(shí)擴(kuò)展模式