【正文】 。利用課題所編寫(xiě)的客戶端應(yīng)用接口，用戶可以完成上述認(rèn)證與授權(quán)過(guò)程。搭建了Kerberos認(rèn)證系統(tǒng)，實(shí)現(xiàn)了用戶登錄的Kerberos認(rèn)證、網(wǎng)絡(luò)應(yīng)用的Kerberos化；搭建了OpenLDAP目錄服務(wù)系統(tǒng)，并利用SASL機(jī)制實(shí)現(xiàn)了其與Kerberos認(rèn)證系統(tǒng)的結(jié)合。本文詳細(xì)分析了LDAP的協(xié)議模型、數(shù)據(jù)模型、數(shù)據(jù)訪問(wèn)操作、安全機(jī)制、系統(tǒng)實(shí)現(xiàn)等，最終采用開(kāi)放源代碼的OpenLDAP實(shí)現(xiàn)目錄服務(wù)功能。接著在對(duì)比分析現(xiàn)有認(rèn)證機(jī)制的基礎(chǔ)上，采用Kerberos認(rèn)證系統(tǒng)作為認(rèn)證策略，分析了Kerberos的系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫(kù)管理等，最后，對(duì)其局限性進(jìn)行了分析并基于可信平臺(tái)模塊(TPM)提出了改進(jìn)方案。本文首先研究分析了Linux內(nèi)部的可插入式認(rèn)證模塊（PAM）的運(yùn)行原理、組成部分及其應(yīng)用實(shí)例，特別是其內(nèi)部的用戶登錄認(rèn)證與應(yīng)用授權(quán)模塊，同時(shí)，研究如何利用該機(jī)制實(shí)現(xiàn)可信第三方的認(rèn)證。參考文獻(xiàn)[1]／Linux操作系統(tǒng)安全（二）.,[2]劉海燕，王子強(qiáng)，[3]郭學(xué)理，劉冬梅，.，[4]李毅，[5]鄭嵐，[6]，[7]林鄧偉，[8]李中獻(xiàn)，詹榜華，[9]李棟，結(jié)束語(yǔ)本文在對(duì)可信計(jì)算的體系結(jié)構(gòu)、現(xiàn)有的認(rèn)證協(xié)議、Linux的安全機(jī)制等深入研究的基礎(chǔ)上，提出了基于Linux操作系統(tǒng)的用戶登錄認(rèn)證與應(yīng)用授權(quán)的架構(gòu)。OpenLDAP目錄服務(wù)器通過(guò)其訪問(wèn)控制列表（ACL）驗(yàn)證用戶是否有權(quán)限訪問(wèn)所要訪問(wèn)的網(wǎng)絡(luò)應(yīng)用服務(wù)，若ACL允許用戶訪問(wèn)該網(wǎng)絡(luò)應(yīng)用，用戶就可以獲得必要的訪問(wèn)信息，可以實(shí)現(xiàn)對(duì)該網(wǎng)絡(luò)應(yīng)用服務(wù)的訪問(wèn)，否則，用戶不能獲得訪問(wèn)某種網(wǎng)絡(luò)應(yīng)用服務(wù)的權(quán)限。 客戶端應(yīng)用接口的編寫(xiě)本課程設(shè)計(jì)所編寫(xiě)的客戶端應(yīng)用接口提供的主要功能為：首先通過(guò)kerberos認(rèn)證，接著是一段訪問(wèn)LDAP目錄服務(wù)的代碼，取到必要的訪問(wèn)信息，然后可以連接到具有訪問(wèn)權(quán)限的網(wǎng)絡(luò)應(yīng)用服務(wù)。反之，LDAP會(huì)拒絕該用戶的訪問(wèn)。如果用戶想要訪問(wèn)一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)，首先通過(guò)kerberos認(rèn)證，登錄到LDAP，然后通過(guò)LDAP數(shù)據(jù)庫(kù)查詢他想訪問(wèn)的網(wǎng)絡(luò)應(yīng)用服務(wù)的地址和端口號(hào)，LDAP會(huì)通過(guò)ACL驗(yàn)證他是否有權(quán)限訪問(wèn)該項(xiàng)目。OpenLDAP定義的訪問(wèn)控制語(yǔ)法的最基本形式是：Access toWhat[ByWhoAccessControl]其中，What定義訪問(wèn)的資源，可以是：*：所有目錄項(xiàng)DN：某一個(gè)目錄項(xiàng)Filter：某一類(lèi)目錄項(xiàng)After:每個(gè)目錄項(xiàng)的某一個(gè)屬性Who定義訪問(wèn)資源的用戶，可以是：*：所有目錄項(xiàng)Self：目錄項(xiàng)本身用戶Anonymous：匿名用戶User：經(jīng)過(guò)認(rèn)證的用戶、或按目錄項(xiàng)屬性確定的用戶等Access定義該用戶具有什么權(quán)限，可以是：None：沒(méi)有權(quán)利Auth：必須綁定Compare：比較Search：查找Read：讀Write：寫(xiě)這些權(quán)限有包含關(guān)系，如果用戶具有Write權(quán)利，其必然具有Auth、Compare、Search、Read權(quán)限。 實(shí)現(xiàn)訪問(wèn)控制 上述工作完成后，OpenLDAP在這個(gè)階段相當(dāng)于一個(gè)支持kerberos身份驗(yàn)證的普通應(yīng)用。登錄到LDAP服務(wù)器后，LDAP會(huì)通過(guò)ACL驗(yàn)證它是否有權(quán)限訪問(wèn)該項(xiàng)目，實(shí)現(xiàn)應(yīng)用授權(quán)。本課題所設(shè)置的域?yàn)椤啊?，則服務(wù)器上的/etc/srvtab文件將具有一個(gè)服務(wù)密鑰：當(dāng)獲取了“l(fā)dap”服務(wù)ticket之后，它將被傳遞給LDAP服務(wù)器用來(lái)證明用戶的身份。命令如下：/usr/sbin/saslpasswd root，之后可以設(shè)置用戶密碼。SASL認(rèn)證獨(dú)立于OpenLDAP服務(wù)器，SASL認(rèn)證的用戶和LDAP的所有用戶都沒(méi)有任何關(guān)系，因此，在使用SASL認(rèn)證之前，首先需要在目錄/usr/lib/sasa2/,：root dn “uid=root”,接著設(shè)置SASL root用戶。通過(guò)調(diào)用ldap_abandon()函數(shù)可以丟棄異步操作。異步操作返回操作初始化信息id。例如，調(diào)用dap_search_s()實(shí)現(xiàn)同步查詢，調(diào)用ldap_search()實(shí)現(xiàn)異步查詢。操作能同步或異步執(zhí)行。LDAP操作為這一結(jié)構(gòu)提供語(yǔ)法分析，逐步分析返回的目錄項(xiàng)或?qū)傩缘?。LDAP API的所有調(diào)用依賴于一個(gè)連接句柄，即指向一個(gè)包含所有連接信息的LDAP結(jié)構(gòu)的指針。如通常使用ldap_search()函數(shù)及相應(yīng)的參數(shù)發(fā)送搜索請(qǐng)求，其函數(shù)返回值能被ldap_first_entry(),ldap_next_entry()等函數(shù)解析。l 綁定到目錄，認(rèn)證LDAP服務(wù)器調(diào)用函數(shù)ldap_bind()綁定到DN，連接至目錄服務(wù)器，ldap_bind()友好地支持各種認(rèn)證方式。應(yīng)用編程接口APIOpenLDAP的API函數(shù)支持LDAP V3的編程應(yīng)用，通過(guò)API函數(shù)實(shí)現(xiàn)客戶端與服務(wù)器的交互。比如，要使用ldapadd工具增加一個(gè)組織條目和一個(gè)組織角色條目，：Organization for Example Corporationdn:dc=secoa,dc=objectClass:dcObjectobjectClass:organizationdc:secoao:Corporationdescription:The CorporationOrganizational Role for Directory Managerdn:=Manager,dc=secoa,dc=objectClass:organizationalRole:Managerdescription:Directory Manager然后，使用下面的命令創(chuàng)建條目：ldapaddf “=Manager,dc=secoa,dc=”w secret本課題中采用基于PHP語(yǔ)言編寫(xiě)的開(kāi)放源代碼的phpldapadmin管理和維護(hù)OpenLDAP的數(shù)據(jù)庫(kù)。此處指定的DN和口令總是能夠工作，無(wú)論該條目的名稱(chēng)實(shí)際上是否存在，或者無(wú)論其口令是什么。可以配置目錄來(lái)為該操作指定一個(gè)特定的超級(jí)管理員用戶。本課題設(shè)置域名為“”，則為：suffix“dc=secoa,dc=”同時(shí)，確保指定了索引文件應(yīng)該被創(chuàng)建的目錄：directorydirectory，應(yīng)該使得目錄具有正確的權(quán)限，使得slapd可以寫(xiě)入。使用LDAP客戶端增加條目之前，：suffix〈dn〉該選項(xiàng)定義了該數(shù)據(jù)庫(kù)中保存的條目。第二種創(chuàng)建數(shù)據(jù)庫(kù)的方法是使用slapd提供的特殊的應(yīng)用程序脫機(jī)執(zhí)行。通過(guò)這種方法，只需要簡(jiǎn)單的啟動(dòng)slapd，然后使用LDAP客戶端向其中增加條目。slapd提供目錄服務(wù)，slurpd用于根據(jù)目錄服務(wù)器日志的變化將目錄更新信息復(fù)制到從屬目錄服務(wù)器上。版本2之后的OpenLDAP使用了pthread庫(kù)，pthread庫(kù)是支持搶先式調(diào)度的線程庫(kù)。將telnet和ftp等網(wǎng)絡(luò)應(yīng)用服務(wù)Kerberos化后，用戶需要通過(guò)kinit命令來(lái)獲得Kerberos初始票據(jù)，利用Kerberos作為可信任的第三方認(rèn)證系統(tǒng)，為不安全的網(wǎng)絡(luò)環(huán)境提供了較為可靠的用戶認(rèn)證方式。進(jìn)入ftp處理程序后，它就要對(duì)用戶提供的ftp命令進(jìn)行分析，在完成一系列準(zhǔn)備之后，向服務(wù)器方發(fā)送認(rèn)證信息，得到認(rèn)證后完成用戶提交的遠(yuǎn)程文件傳輸任務(wù)。l kftp應(yīng)用服務(wù)在Kftp應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運(yùn)行在提供服務(wù)的機(jī)器上，等待來(lái)自客戶方的服務(wù)請(qǐng)求。為接受服務(wù)請(qǐng)求，服務(wù)器端應(yīng)用程序?qū)?zhí)行下述動(dòng)作：⑴準(zhǔn)備好Keytab文件，并生成自身主體信息；⑵等待來(lái)自客戶方的服務(wù)請(qǐng)求；⑶接受客戶端的連接請(qǐng)求，與客戶建立初始的TCP網(wǎng)絡(luò)連接；⑷接收并處理來(lái)自客戶方的Kerberos認(rèn)證信息；⑸向客戶發(fā)送認(rèn)證響應(yīng)信息。本課程設(shè)計(jì)中，將Kerberos化的ktelnet、ftp服務(wù)分別簡(jiǎn)稱(chēng)為ktelnet、kftp，分析如下：l ktelnet應(yīng)用服務(wù)在ktelnet應(yīng)用服務(wù)系統(tǒng)中，其服務(wù)器端程序始終運(yùn)行在提供服務(wù)的機(jī)器上，等待來(lái)自客戶方的服務(wù)請(qǐng)求。⑷將網(wǎng)絡(luò)應(yīng)用添加到超級(jí)服務(wù)器INETD里，取代原來(lái)不安全的應(yīng)用服務(wù)。⑵在Kerberos服務(wù)器上定義應(yīng)用服務(wù)的主體標(biāo)識(shí)，分配密鑰并加入到密鑰庫(kù)中。但由于原有的應(yīng)用系統(tǒng)并不能直接適用于Kerberos環(huán)境，其客戶端和服務(wù)器端的軟件都要做一定的修改，使之可以在成功建立TCP連接后能夠交換加密的認(rèn)證信息。krb5_rd_priv()此函數(shù)用來(lái)分析輸入緩沖區(qū)里的KRB_PRIV格式的消息。krb5_rd_safe()此函數(shù)用來(lái)分析輸入緩沖區(qū)里的KRB_SAFE格式的消息。krb5_recvauth()此函數(shù)與krb5_sendauth()搭配使用，服務(wù)器用來(lái)接收來(lái)自客戶的信息并向客戶提供認(rèn)證應(yīng)答信息。krb5_rd_rep()此函數(shù)用來(lái)分析并解密一個(gè)KRB_AP_REP信息，調(diào)用者應(yīng)該再調(diào)用krb5_free_ap_rep_enc_part()來(lái)釋放此結(jié)構(gòu)。krb5_rd_req()此函數(shù)用來(lái)分析一個(gè)KRB_AP_REQ信息，并返回其內(nèi)容。krb5_get_in_tkt()客戶利用此函數(shù)獲得使用某種服務(wù)的初始票據(jù)。krb5_cc_remove_cred()此函數(shù)用來(lái)銷(xiāo)毀指定主體名的證書(shū)。krb5_ccinitialize()此函數(shù)用來(lái)生成或刷新證書(shū)緩存。l 證書(shū)緩存函數(shù)Krb5_cc_resolve()此函數(shù)用來(lái)把字符串格式的名字轉(zhuǎn)化為相應(yīng)的ID，并添寫(xiě)相關(guān)信息。krb5_parse_name()此函數(shù)用來(lái)將主體名稱(chēng)的單字符串表示方式轉(zhuǎn)化為協(xié)議中所使用的多個(gè)組成部分的主體名稱(chēng)格式。krb5_auth_con_free(/*IN/OUT*/krb5_auth_context*auth_context)此函數(shù)用來(lái)釋放由krb5_auth_con_init函數(shù)返回的認(rèn)證內(nèi)容auth_context。l Krb5_auth_context用來(lái)表示一個(gè)連接中直接被客