| FreeBSD handbook中文版 10 安全 |
 |
作者: 来源: 日期:2007-6-19 11:28:55 点击次数: |
|
这儿是一个配置文件的例子,下面举三种普通使用的配置例子:
permit internet 192.168.0.0 255.255.0.0
permit user fnord
permit port ttyd0
第一行允许他的Ip 源地址与指定的值和掩码相配的用户使用unix 密码。这不应当被认
为是一种安全的机制,但应当提醒那些使用不安全连接的网络的用户必须使用s/key 验证。
第二行允许指定用户名在任何时候使用unix 密码,在这个例子中是fnord。一般来讲,
这将被那些不能使用密码程序的人或不可教育的人来使用。
第三行允许所有的通过指定的终端行登陆的用户使用unix 密码;这将被用在拨号中。
10.6 Kerberos
Kerberos 是一个网络附加系统/协议,可以允许用户通过一个安全服务器的服务来验证
他们自己。象远程登陆,远程拷贝,系统间的相互文件拷贝和其他高风险任务的服务将被变
得相当安全和可控制。
下面的文章将用来指导你如何为FreeBSD 设置Kerberos。你也可以参考相关的联机手册
第17 页FreeBSD 使用手册
了解更详细的说明。
在FreeBSD 中,Kerberos 不是来自最初的4.4BSD-Lite,而是eBones,来自于USA/Canada
以外的地区,那些受到美国加密代码出口限制的国家就可以使用它。
10.6.1 创建最初的数据库
这只可以由Kerberos 服务器来做。首先确定你没有旧的Kerberos 数据库。你必须改变
/etc/kerberosIV 的目录,然后只检查下面出现的文件:
# cd /etc/kerberosIV
# ls
README krb.conf krb.realms
如果任何其他文件(如principal.* 或master_key)存在,那使用kdb_destroy 命令就
可以破坏旧的Kerberos 数据库,或者如果Kerberos 不在运行,只要删除其他的文件。
你现在必须编辑krb.conf 和krb.realms 文件来定义你的Kerberos 规则。在这个例子
中,规则将是GRONDAR.ZA,服务器是grunt.grondar.za。我们可以编辑或创建krb.conf
文件:
# cat krb.conf
GRONDAR.ZA
GRONDAR.ZA grunt.grondar.za admin server
CS.BERKELEY.EDU okeeffe.berkeley.edu
ATHENA.MIT.EDU kerberos.mit.edu
ATHENA.MIT.EDU kerberos-1.mit.edu
ATHENA.MIT.EDU kerberos-2.mit.edu
ATHENA.MIT.EDU kerberos-3.mit.edu
LCS.MIT.EDU kerberos.lcs.mit.edu
第18 页FreeBSD 使用手册
TELECOM.MIT.EDU bitsy.mit.edu
ARC.NASA.GOV trident.arc.nasa.gov
在这个例子中,其他规则没有出现。他们在这儿作为一个机器如何应用多种规则的例子。
你可能希望不要简单地包括它们。
第一行命名了这个系统工作的规则。其它行包含了规则/主机的记录。每行的第一项就
是一个规则,第二个是充当一个key distribution center 的规则中的一台主机。接在一个
主机名后面的管理服务器的命令意味着主机也要提供一个管理数据库服务器。更多信息,可
以参考Kerberos 的联机手册。
现在,我们必须添加grunt.grondar.za 到GRONDAR.ZA,然后添加一个记录把所有主机
放在.grondar.za 域中。krb.realms 文件将被升级:
# cat krb.realms
grunt.grondar.za GRONDAR.ZA
.grondar.za GRONDAR.ZA
.berkeley.edu CS.BERKELEY.EDU
.MIT.EDU ATHENA.MIT.EDU
.mit.edu ATHENA.MIT.EDU
它们在这儿作为一个例子来指出一台机器如何可以知道多个领域。你也可以简单地把它
们删除。
第一行把指定的系统放在已命名的域中。其他行显示了如何把一个特殊子域的系统默认
设为一个命名的域。
现在我们已经准备创建数据库。这将需要运行Kerberos 服务器。执行命令kdb_init:
# kdb_init
Realm name [default ATHENA.MIT.EDU ]: GRONDAR.ZA
You will be prompted for the database Master Password.
上一篇:FreeBSD handbook中文版 9 配制FreeBSD 的内核
下一篇:FreeBSD handbook中文版11 打印(1)基本设置 |
|
|
 |
| 北京总部: 4006-505-808 |
| 天 津 部: 4006-505-808 |
| 上 海 部: 4006-505-808 |
| 深 圳 部: 4006-505-808 |
| 广 州 部: 4006-505-808 |
| 重 庆 部: 4006-505-808 |
| 南 京 部: 4006-505-808 |
| 其它地区: 4006-505-808 | |
|
 |
|
