【正文】 PAM機制可以用來動態(tài)地改變身份驗證的方法和要求，允許身份認證模塊按需要被加載到內(nèi)核中，模塊在加入后即可用于對用戶進行身份認證，而不需要重新編譯其它公用程序。Kerberos認證協(xié)議是目前應用最廣泛的、基于可信任第三方的網(wǎng)絡身份認證協(xié)議。Kerberos認證協(xié)議最初是麻省理工學院（MIT）為其Athena項目開發(fā)的，其從提出到現(xiàn)在，共經(jīng)歷了五個版本的發(fā)展[4]。其本身存在著一定的局限性，針對其安全缺陷，已有諸多的解決方案提出。輕量級目錄訪問協(xié)議（LDAP）作為目前廣泛應用的目錄訪問協(xié)議，可以實現(xiàn)授權(quán)管理、網(wǎng)絡用戶管理、電子政務目錄體系等服務。目前，LDAP已經(jīng)成為Internet上目錄服務的標準協(xié)議。在我國，LDAP技術(shù)已應用在北京大學校園網(wǎng)絡用戶管理系統(tǒng)、上海政務網(wǎng)統(tǒng)一用戶管理、中國數(shù)字圖書館系統(tǒng)的用戶管理部分，以及北京、上海、天津、福建等省級認證中心等。用戶在登錄Linux操作系統(tǒng)時，首先要通過系統(tǒng)的PAM進行驗證。因此，將更多安全性更高的認證機制擴展到PAM的底層鑒別模塊中，可以增強Linux操作系統(tǒng)的安全性。本課程設計提出的用戶認證與應用授權(quán)系統(tǒng)，集成了用戶與各種網(wǎng)絡應用服務的資源和信息，可以方便有效的實現(xiàn)對用戶的統(tǒng)一管理。這樣既可以實現(xiàn)基于用戶的網(wǎng)絡應用管理，也可以實現(xiàn)對用戶的訪問控制。 本課程設計在深入理論研究的基礎(chǔ)上，基于Linux的PAM機制、Kerberos認證系統(tǒng)、LDAP目錄服務系統(tǒng)設計了域內(nèi)用戶認證與應用授權(quán)的架構(gòu)。OpenLDAP目錄服務系統(tǒng)完成用戶信息的存儲以及相應權(quán)限的設置。根據(jù)所提出的架構(gòu)，在“華鐳Linux操作系統(tǒng)”下配置各個相關(guān)模塊，同時編程實現(xiàn)客戶端用戶認證的接口函數(shù)，使得用戶可以調(diào)用該接口函數(shù)完成登錄某種網(wǎng)絡應用服務的認證。Linux內(nèi)部的可插入式認證模塊（PAM）的運行原理、組成部分及其應用實例，特別是其內(nèi)部的用戶登錄認證與應用授權(quán)模塊。研究Kerberos認證系統(tǒng)，包括其系統(tǒng)組成、協(xié)議原理、數(shù)據(jù)庫創(chuàng)建與管理、應用接口函數(shù)等，并研究如何將其配置在所選操作系統(tǒng)“華擂Linux”的PAM模塊中。本課程設計所搭建的用戶認證與應用授權(quán)系統(tǒng)包括服務器端、客戶端兩部分，分別介紹如下：服務器端⑴配置Kerberos的服務器端，作為Kerberos的密鑰分發(fā)中心（KDC），完成AS認證服務和TGS票據(jù)授權(quán)服務，并將網(wǎng)絡應用服務進行Kerberos化，實現(xiàn)用戶登錄網(wǎng)絡應用服務的Kerberos認證；⑵配置OpenLDAP的服務器端，作為用戶身份管理的核心數(shù)據(jù)庫，利用其目錄管理功能實現(xiàn)對用戶信息的管理，并利用其訪問控制列表（ACL）實現(xiàn)應用的授權(quán)；⑶利用SASL機制實現(xiàn)Kerberos系統(tǒng)與OpenLDAP系統(tǒng)的結(jié)合，并實現(xiàn)兩者數(shù)據(jù)庫的匹配，完成用戶認證與應用授權(quán)系統(tǒng)的模塊架構(gòu)。⑵作為OpenLDAP目錄服務系統(tǒng)的客戶端用戶可以對目錄信息進行管理與訪問。2用戶認證與授權(quán)方案概述 Linux的安全機制PAM機制通常在認證時，實現(xiàn)認證功能的代碼通常作為應用程序的一部分而一起編譯，如果發(fā)現(xiàn)所用算法存在某些缺陷或想采用另外一種認證方法時，用戶不得不重寫(修改或替換)、重新編譯原程序。應此需求，1995年，SUN的研究人員提出可插入式認證模塊，目前其已逐漸成為各種UNIX系統(tǒng)上包括Linux操作系統(tǒng)的認證方案。其在實現(xiàn)上采用了分層的體系結(jié)構(gòu)，將各種具體的認證模塊從應用程序中獨立出來，使得認證機制與應用程序之間相對獨立。應用程序只需調(diào)用應用編程接口API即可方便的使用PAM提供的各種認證功能，而不必了解太多的底層細節(jié)。[6]。系統(tǒng)管理員通過PAM配置文件來制定不同應用程序的不同認證策略，當應用程序調(diào)用PAM API時，加載相應的PAM服務模塊。當PAM服務模塊完成相應的認證操作之后，將結(jié)果返回給應用接口層，然后由PAM API根據(jù)具體的配置文件將此應答返回給應用程序?qū)印＃?PAM工作流程，PAM機制在運行時，按照圖中所標示的數(shù)字，依次完成如下步驟：l 用戶調(diào)用某個應用程序，以得到某種服務；l PAM應用程序調(diào)用后臺的PAM庫進行認證工作；l PAM庫在/etc/， 該文件告訴PAM，此應用程序使用何種認證機制；l PAM庫裝載所需的認證模塊；l 上述裝載的認證模塊讓PAM與應用程序中的會話函數(shù)進行通信；l 會話函數(shù)向用戶要求有關(guān)信息；l 用戶對這些要求做出回應，提供所需信息；l PAM認證模塊通過PAM庫將認證信息提供給應用程序；l 認證完成后，應用程序做出兩種選擇：將所需權(quán)限賦予用戶，并通知用戶；l 若認證失敗，也通知用戶。認證服務是實現(xiàn)網(wǎng)絡安全最重要的服務之一，其他的安全服務在某種程度上都依賴于認證服務。信息認證保證了消息源的可靠性和消息在傳輸過程中的完整性；身份認證可以使通信雙方相互驗證身份，以保證通信雙方的真實性。認證機制主要是認證系統(tǒng)所采用的認證方式和認證協(xié)議，用于安全連接建立前通訊雙方身份的識別，從而保障接收方接收到的數(shù)據(jù)確實是由發(fā)送方發(fā)送的。該機制比較簡單，可以利用雙方的共享信息，如口令等進行身份的認證。另一類采用可信第三方的認證機制?？尚诺谌阶C實發(fā)送方的身份，并回送一個證明信息（證書或是票據(jù)），從而保證發(fā)送方身份的真實性。通過身份認證，通信雙方可以相互驗證身份，從而保證雙方都能夠與合法的授權(quán)用戶進行通信。系統(tǒng)通過核對用戶輸入的用戶名和口令與系統(tǒng)內(nèi)已有的合法用戶名和口令是否匹配來驗證用戶的身份?？诹钫J證的安全性僅僅基于用戶口令的保密性，而用戶口令為方便記憶，一般較短而容易猜測，因此該方式不能抵御口令猜測攻擊；其次，口令的明文傳輸使得系統(tǒng)攻擊者很容易遭到竊聽；再者，由于系統(tǒng)以明文形式保存口令，一旦攻擊者獲得口令表，整個系統(tǒng)的安全性就會受到威脅。l 基于生物學特征的認證基于生物學信息的身份認證就是利用用戶所特有的生物學特征來區(qū)分和確認用戶的身份。由于這些特征不會丟失、被盜或忘記，因此適用于對用戶身份的鑒別和認證。l 基于智能卡的認證智能卡是由一個或多個集成電路芯片組成的集成電路卡。智能卡可存儲用戶的個人參數(shù)和秘密信息(如IDX、PWX和密鑰)?；谥悄芸ǖ恼J證方式是一種雙因子的認證方式(PIN+智能卡)。這種認證方案的安全性依賴于智能卡，由于智能卡本身提供硬件保護措施和加密算法，因此它既不易被偽造，也不能被直接讀取數(shù)據(jù)，可以利用這些功能加強系統(tǒng)整體的安全性能。認證協(xié)議是認證主體通過一系列有序的步驟證明自己身份的一個過程。認證協(xié)議是認證機制的基礎(chǔ)，認證協(xié)議的安全性決定了某種認證機制的優(yōu)劣。該協(xié)議是美國麻省理工學院（MIT）為其Athena項目開發(fā)的，基于NeedhamSchroeder認證模型，使用DES算法進行加密和認證。1988年開發(fā)的Version 4是公諸于眾的第一個版本，它是分布式計算環(huán)境（DCE）框架的組成部分，已在一些Unix系統(tǒng)中應用過。目前Kerberos V5已經(jīng)被IETF正式命名為RFC1510。首先是認證服務交換，客戶端從認證服務器（AS）請求一張票據(jù)許可票據(jù)（Ticket Granting Ticket,TGT），作為票據(jù)許可服務（TicketGranting Server,TGS），2；接著是票據(jù)授權(quán)服務交換，客戶端向TGS請求與服務方通信所需要的票據(jù)及會話密鑰，4；最后是客戶端/應用服務器雙向認證，客戶端在向應用服務器證實自己身份的同時，證實應用服務器的身份，6。輕量級目錄訪問協(xié)議（LDAP）使用基于訪問控制策略語句的訪問控制列表（Access Control List,ACL）來實現(xiàn)訪問控制與應用授權(quán)，不同于現(xiàn)有的關(guān)系型數(shù)據(jù)庫和應用系統(tǒng)，訪問控制異常靈活和豐富。1. 協(xié)議模型LDAP協(xié)議采用的通用協(xié)議模型是一個由客戶端（Client）發(fā)起操作的客戶端／服務器（Server）響應模型。應用程序通過應用程序接口（API）調(diào)用把操作要求和參數(shù)發(fā)送給LDAP客戶端，客戶端發(fā)起LDAP請求，通過TCP/IP傳遞給LDAP服務器；LDAP服務器必須分配一個端口來監(jiān)聽客戶端請求，其代替客戶端訪問目錄庫，在目錄上執(zhí)行相應的操作，把包含結(jié)果或者錯誤信息的響應回傳給客戶端；應用程序取回結(jié)果。： LDAP協(xié)議模型在LDAPV1與LDAPV2中，服務器需要追蹤全部參考節(jié)點和執(zhí)行協(xié)議操作，將最終結(jié)果返回給客戶端。這樣，雖然增加了客戶端軟件的復雜程度，但是可以有效分擔服務器的負載，提高服務器的效率和分布式應用能力。DIT的根節(jié)點是一個沒有實際意義的虛根，樹上的節(jié)點被稱為條目（Entry），是樹狀信息中的基本數(shù)據(jù)單元。從一個條目到根的直接下級條目的RDN序列組成該條目的識別名（Distinguishe Name,DN），DN是該條目在整個樹中的唯一名稱標識。 LDAP目錄信息樹結(jié)構(gòu)3. LDAP的實現(xiàn)OpenLDAP ，最新的版本()可以支持LDAPV3協(xié)議的絕大部分特性，包括一些擴展功能。OpenLDAP通過配置文件中的referral指令字實現(xiàn)到其他命名上下文或其他LDAP服務器的引用。OpenLDAP使用獨立進程slurpd實現(xiàn)目錄復制服務，可以通過結(jié)合slurpd和slapd的配置文件設計復制策略。主要通過服務器配置文件中的access指令字實現(xiàn)，access提供了豐富的語法，支持各種通配符，可以實現(xiàn)強大的訪問控制功能。3用戶認證與授權(quán)方案的研究與實現(xiàn)本課題基于Linux的PAM機制、Kerberos認證系統(tǒng)、LDAP目錄服務系統(tǒng)設計了域內(nèi)用戶認證與應用授權(quán)的架構(gòu)，該架構(gòu)運行在操作系統(tǒng)為Linux的主機上，提供基本的Kerberos登錄認證服務，以及Kerberos化的遠程登錄服務（ktelnet）、Kerberos化的文件傳輸（kftp）等網(wǎng)絡應用服務。本課題編寫了客戶端程序，作為認證接口，提供給應用程序調(diào)用，實現(xiàn)用戶的登錄認證與應用的授權(quán)。下面介紹其在Linux操作系統(tǒng)下的安裝與配置。安裝完畢后，系統(tǒng)必須先建立起相關(guān)的Kerberos配置文件，從而使系統(tǒng)能夠到指定的文件里讀取配置信息。同時。Kerberos系統(tǒng)