【正文】 。PAM體系結(jié)構(gòu)的模塊化設(shè)計及其定義的良好接口，使得無需改變或者干擾任何現(xiàn)有的登錄服務(wù)就可以集成范圍廣泛的認證和授權(quán)機制，因此，近年來，對PAM的底層鑒別模塊的擴展廣泛應(yīng)用于增強Linux操作系統(tǒng)的安全性。當用戶在登錄Linux時，首先要通過系統(tǒng)的PAM驗證。目前，UNIX下的一種新的安全機制已被開發(fā)并且在Linux中實現(xiàn)。其新功能的不斷加入及安全機制的錯誤配置或錯誤使用，都會帶來很多問題。近幾年來，Linux操作系統(tǒng)以其高效性、靈活性以及開放性得到了蓬勃發(fā)展，不僅被廣泛應(yīng)用于PC、服務(wù)器，還廣泛的應(yīng)用于手機、PDA等高端嵌入設(shè)備。由于其免費提供源代碼及可執(zhí)行文件，吸引了全世界各地的UNIX行家為其編寫了大量的驅(qū)動程序和應(yīng)用軟件，在短短的幾年時間里，Linux迅速發(fā)展成為一個相當完善的操作系統(tǒng)。 build the OpenLDAP directory service system, and the use of SASL mechanisms with a bination of Kerberos authentication system. On this basis, the use of OpenLDAP access control mechanisms on the application of a variety of network services, unauthorized access. Prepared to use our client application interface, the user can plete authentication and authorization process of the above. The system of information security as part of practical innovation platform, has been applied to the practice of information security aspects of teaching, but also can be used in party and government organs of office automation and collaboration of office to protect the security of government network.Key words Authentication；Directory Service；Authorization目 錄1引言 1 1 2 22用戶認證與授權(quán)方案概述 5 Linux的安全機制 5 Kerberos認證系統(tǒng) 9 輕量級目錄訪問協(xié)議 103用戶認證與授權(quán)方案的研究與實現(xiàn) 14 14 20 Kerberos認證系統(tǒng)與OpenLDAP的結(jié)合 23 實現(xiàn)訪問控制 24 客戶端應(yīng)用接口的編寫 25參考文獻 28結(jié)束語 2929 / 381引言 Linux是一個類UNIX的多用戶、多任務(wù)、功能強大的操作系統(tǒng)。該系統(tǒng)作為信息安全實踐創(chuàng)新平臺的一部分，可應(yīng)用于信息安全教學的實踐環(huán)節(jié)，還可以將其應(yīng)用于黨政機關(guān)辦公自動化與協(xié)同辦公，保護黨政內(nèi)網(wǎng)的安全。在此基礎(chǔ)上，利用OpenLDAP的訪問控制機制實現(xiàn)了對各種網(wǎng)絡(luò)應(yīng)用服務(wù)的授權(quán)訪問。利用可信平臺模塊（TPM）對Kerberos協(xié)議及其藍本Needham—Schroeder協(xié)議進行了改進，增強了它們的安全性。課程設(shè)計成績評定學 院 計算機與通信工程 專 業(yè) 計算機科學與技術(shù)班 級 計算機063 班 學 號 200650080309 學生姓名 廖正磊 指導教師 王艷華 課程成績 完成日期 2009年5月22日 指導教師對學生在課程設(shè)計中的評價評分項目優(yōu)良中及格不及格課程設(shè)計中的創(chuàng)造性成果學生掌握課程內(nèi)容的程度課程設(shè)計完成情況課程設(shè)計動手能力文字表達學習態(tài)度規(guī)范要求課程設(shè)計論文的質(zhì)量指導教師對課程設(shè)計的評定意見綜合成績 指導教師簽字 年 月 日基于Linux的用戶認證與授權(quán)系統(tǒng)的研究實現(xiàn)學生姓名：廖正磊 指導老師：王艷華摘 要 本課程設(shè)計在對可信計算的體系結(jié)構(gòu)、Linux的安全機制、現(xiàn)有的認證協(xié)議等深入研究的基礎(chǔ)上，提出了基于Linux操作系統(tǒng)的用戶認證與應(yīng)用授權(quán)的架構(gòu)，并最終完成了整個系統(tǒng)的搭建。 應(yīng)當提交的文件：（1）課程設(shè)計報告。（3）通過課程設(shè)計培養(yǎng)學生嚴謹?shù)目茖W態(tài)度，認真的工作作風和團隊協(xié)作精神。要求：（1）要求能獨立地運用程序語言和數(shù)據(jù)庫方面知識，編制一個功能簡單的小型信息模擬系統(tǒng)。利用可信平臺模塊（TPM）對Kerberos協(xié)議及其藍本Needham—Schroeder協(xié)議進行了改進，增強了它們的安全性。長沙理工大學《Linux高級操作系統(tǒng)》課程設(shè)計報告基于Linux的用戶認證與授權(quán)研究廖正磊學 院 計算機與通信工程 專業(yè) 計算機科學與技術(shù)班 級 計算機063班 學號 200650080309 學生姓名 廖正磊 指導教師 王艷華 課程成績 完成日期 2009年5月29日課程設(shè)計任務(wù)書計算機與通信工程學院 計算機科學與技術(shù)專業(yè) 課程名稱網(wǎng)絡(luò)系統(tǒng)課程設(shè)計時間2008～2009學年第1學期19～20周學生姓名廖正磊指導老師王艷華題 目基于Linux的用戶認證與授權(quán)研究主要內(nèi)容：本課程設(shè)計主要完成一個基于Linux的用戶認證與授權(quán)的研究實現(xiàn)。重點分析了Kerberos認證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。并搭建了Kerberos認證系統(tǒng)，實現(xiàn)了用戶登錄的Kerberos認證、網(wǎng)絡(luò)應(yīng)用的Kerberos化。（2）學生按要求編寫課程設(shè)計報告書，能正確闡述設(shè)計和實驗結(jié)果。（4）學生應(yīng)抱著嚴謹認真的態(tài)度積極投入到課程設(shè)計過程中。（2）課程設(shè)計附件（源程序、各類圖紙、實驗數(shù)據(jù)、運行截圖等）。本文重點分析了Kerberos認證系統(tǒng)與LDAP目錄服務(wù)系統(tǒng)的消息格式、數(shù)據(jù)庫管理、安裝配置、配置文件、接口函數(shù)等。并搭建了Kerberos認證系統(tǒng)，實現(xiàn)了用戶登錄的Kerberos認證、網(wǎng)絡(luò)應(yīng)用的Kerberos化；搭建了OpenLDAP目錄服務(wù)系統(tǒng)，并利用SASL機制實現(xiàn)了其與Kerberos認證系統(tǒng)的結(jié)合。利用我們編寫的客戶端應(yīng)用接口，用戶可以完成上述認證與授權(quán)過程。關(guān)鍵詞 身份認證；目錄服務(wù)；應(yīng)用授權(quán)Linuxbased user authentication and authorizationStudent name: LIAO Zhenglei Advisor：WANG YanhuaAbstract The curriculum design in the architecture of Trusted Computing, Linux security mechanisms, the existing authentication protocol, such as indepth study, based on the Linux operating system based on user authentication and authorization framework for applications, and ultimately the pletion of the entire system structures. This paper analyzes the Kerberos authentication system and LDAP directory services system message format, database management, installation configuration, configuration files, and other interface functions. The use of Trusted Platform Module (TPM) on the Kerberos protocol and the NeedhamSchroeder protocol based on improvements to enhance their security. And to set up Kerberos authentication system, the Kerberos user login authentication, the Kerberos network applications of。最初版本是芬蘭的Linus Torvalds于1991年獨立開發(fā)的。不僅穩(wěn)定可靠，而且還具有良好的兼容性、可移植性。但是，目前的Linux版本在安全方面還存在著許多不足，其安全級別低于C2級。出于系統(tǒng)安全考慮，Linux提供的安全機制主要有:身份標識與鑒別、文件訪問控制、特權(quán)管理、安全審計、IPC資源的訪問控制。這種機制稱為可插入身份認證模塊，即為PAM機制[1]。