验证配置工具 提供了配置 NIS、LDAP、和 Hesiod 来检索用户信息,以及把 LDAP、Kerberos、和 SMB 配置成验证协议的图形化界面。
注记:如果你在安装中或使用 安全级别配置工具 配置了中级或高级安全级别,或在 GNOME Lokkit 程序中选择了高级或低级安全,包括 NIS 和 LDAP 在内的网络验证方法就不被允许穿过防火墙。
本章并不详细解释每一种不同的验证类型,而解释了如何使用 验证配置工具 来配置这些验证类型。
要从桌面上启动图形化版本的 验证配置工具 ,选择面板上的 「主菜单」 => 「系统设置」 => 「验证」 ,或在 shell 提示下(如 XTerm 或 GNOME 终端 )键入 authconfig-gtk 命令。要启动基于文本的版本,在 shell 提示下键入 authconfig 命令。
重要:退出了验证程序后,改变会立即生效。
22.1. 用户信息
「用户信息」 标签上有几个选项。要启用选项,点击它旁边的空白复选箱。要禁用选项,点击它旁边的复选箱来清空它。点击 「确定」 来退出程序并应用改变。
火 于 2005-12-09 00:32:15发表:
22.3. 命令行版本
指定 NIS 域
指定 NIS 服务器
指定 LDAP 服务器
指定 LDAP 基准 DN
指定 Kerberos KDC
指定 Kerberos 管理服务器
指定 Kerberos 领域
指定 SMB 工作组
指定 SMB 服务器
指定 Hesiod LHS
指定 Hesiod RHS
验证配置工具 还能够作为没有界面的命令行工具来运行。命令行版本可以被用在配置脚本或 kickstart 脚本中。验证选项在表 22-1 中被简略描述。
选项 描述
--enableshadow 启用屏蔽口令
--disableshadow 禁用屏蔽口令
--enablemd5 启用 MD5 口令
--disablemd5 禁用 MD5 口令
--enablenis 启用 NIS
--disablenis 禁用 NIS
--nisdomain=
--nisserver=
--enableldap 为用户信息启用 LDAP
--disableldap 为用户信息禁用 LDAP
--enableldaptls LDAP 启用 TLS
--disableldaptls LDAP 禁用 TLS
--enableldapauth 验证启用 LDAP
--disableldapauth 验证禁用 LDAP
--ldapserver=
--ldapbasedn=
--enablekrb5 启用 Kerberos
--disablekrb5 禁用 Kerberos
--krb5kdc=
--krb5adminserver=
--krb5realm=
--enablesmbauth 启用 SMB
--disablesmbauth 禁用 SMB
--smbworkgroup=
--smbservers=
--enablehesiod 启用 Hesiod
--disablehesiod 禁用 Hesiod
--hesiodlhs=
--hesiodrhs=
--enablecache 启用 nscd
--disablecache 禁用 nscd
--nostart 不要开始或停止 portmap 、 ypbind 和 nscd 服务,即便它们已经被配置
--kickstart 不要显示用户界面
--probe 探测和显示网络默认值
表 22-1. 命令行选项
窍门:这些选项还可以在 authconfig 的说明书(man)页或在 shell 提示下键入 authconfig --help 来找到。
火 于 2005-12-09 00:31:53发表:
图 22-1. 用户信息
以下的列表解释了每个选项所配置的项目:
「缓存用户信息」 -- 选择该选项来启用名称服务缓存守护进程( nscd ),并配置它在引导时启动。
你必须安装了 nscd 软件包才能使这个选项奏效。
「启用 NIS 支持」 -- 选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击 「配置 NIS」 按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。
你必须安装了 ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持, portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。
「启用 LDAP 支持」 -- 选择这个选项来配置系统来通过 LDAP 检索用户信息。点击 「配置 LDAP」 按钮来指定 「LDAP 搜索基准 DN」 和 「LDAP 服务器」 。如果 「使用 TLS 来加密连接」 被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。
你必须安装 openldap-clients 软件包才能使这个选项奏效。
关于 LDAP 的更多信息,请参阅 《Red Hat Linux 参考指南》 。
「启用 Hesiod 支持」 -- 选择这个选项来配置系统来从远程 Hesiod 数据库中检索信息,包括用户信息。
你必须要安装 hesiod 软件包。
22.2. 验证
「验证」 标签允许你配置网络验证方法。要启用选项,点击它旁边的空白复选箱。要禁用选项,点击它旁边的复选箱来清空它。
图 22-2. 验证
以下解释了每个选项所配置的项目:
「使用屏蔽口令」 -- 选择这个选项来在 /etc/shadow 文件中而不是 /etc/passwd 文件把口令贮存为屏蔽口令格式。屏蔽口令在安装中被默认启用,它也是我们极力推荐你用来增加系统安全性的措施。
你必须安装了 shadow-utils 软件包才能使这个选项奏效。关于屏蔽口令的更多信息,请参阅 《Red Hat Linux 参考指南》 中的“ 用户和组群 ”这一章。
「使用 MD5 口令」 -- 选择这个选项来启用 MD5 口令。它会允许长达 256 个字符的口令而不同是通常的少于八个字符的口令。该选择在安装中被默认选择,它也是我们极力推荐你用来增加系统安全性的措施。
「启用 LDAP 支持」 -- 选择这个选项来让标准的启用 PAM 的应用程序使用 LDAP 来验证。点击 「配置 LDAP」 按钮来指定以下信息:
「使用 TLS 来加密连接」 -- 使用传输层安全来加密要发送给 LDAP 服务器的口令。
「LDAP 搜索基准 DN」 -- 通过它的识别名称(DN)来检索用户信息。
「LDAP 服务器」 -- 指定 LDAP 服务器的 IP 地址。
你必须安装了 openldap-clients 软件包才能使这个选项奏效。关于 LDAP 的详情请参阅 《Red Hat Linux 参考指南》 。
「启用 Kerberos 支持」 -- 选择这个选项来启用 Kerberos 验证。点击 「配置 Kerberos」 按钮来配置:
「领域」 -- 配置 Kerberos 服务器的领域。领域是使用 Kerberos 的网络,由一个或多个 KDC,以及大量客户组成。
「KDC」 -- 定义密钥分发中心(KDC)。它是分发 Kerberos 门票的机器。
「管理服务器」 -- 指定运行 kadmind 的管理服务器。
你必须安装 krb5-libs 和 krb5-workstation 软件包才能使这个选项奏效。关于 Kerberos 的详情请参阅 《Red Hat Linux 参考指南》 。
「启用 SMB 支持」 -- 该选项配置 PAM 使用 SMB 服务器来验证用户。点击 「配置 SMB」 按钮来指定:
「工作组」 -- 指定要使用的 SMB 工作组。
「域控制器」 -- 指定要使用的 SMB 域控制器。