Родерик Смит - Сетевые средства Linux
- Название:Сетевые средства Linux
- Автор:
- Жанр:
- Издательство:Издательский дом Вильямс
- Год:2003
- Город:Москва
- ISBN:5-8459-0426-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Родерик Смит - Сетевые средства Linux краткое содержание
В этой книге описаны принципы действия и область применения многих серверов, выполняющихся в системе Linux. Здесь рассматриваются DHCP-сервер, серверы Samba и NFS, серверы печати, NTP-сервер, средства удаленной регистрации и система X Window. He забыты и средства, традиционно используемые для обеспечения работы Internet-служб: серверы DNS, SMTP, HTTP и FTP. Большое внимание уделено вопросам безопасности сети. В данной книге нашли отражения также средства удаленного администрирования — инструменты Linuxconf, Webmin и SWAT.
Данная книга несомненно окажется полезной как начинающим, так и опытным системным администраторам.
Отзывы о книге Сетевые средства LinuxПоявилась прекрасная книга по Linux, осталось воспользоваться ею. Не упустите свой шанс.
Александр Стенцин, Help Net Security, www.net-security.orgЕсли вы стремитесь в полной мере использовать сетевые возможности Linux — эта книга для вас. Я настоятельно рекомендую прочитать ее.
Майкл Дж. Джордан, Linux OnlineВыхода подобной книги давно ожидали читатели. Менее чем на 700 страницах автор смог изложить суть самых различных вопросов, связанных с работой Linux. Автор является высококвалифицированным специалистом в своей области и щедро делится своими знаниями с читателями.
Роджер Бертон, West, DiverseBooks.comСетевые средства Linux - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Enter KDC database master key:
Re-enter KDC database master key to verify:
Из соображений безопасности символы, вводимые в ответ на приглашение, не отображаются на экране.
В процессе выполнения утилита kdb5_utilсоздает и инициализирует несколько файлов. Эти файлы помещаются в каталог /var/kerberos/krb5kdcлибо в другой каталог, используемый системой Kerberos, например в /usr/local/var/krb5kdc. Ниже приведен перечень файлов, создаваемых с помощью утилиты kdb5_util.
• Stash-файл с именем .k5. имя_области или .k5stash.
• Файлы principalи principal.ok, содержащие базу данных Kerberos. (В некоторых системах файл principalназывается principal.db.)
• Файлы principal.kadm5и principal.kadm5.lock, предназначенные для администрирования Kerberos.
Если вы по каким-то причинам не хотите создавать stash-файл, то, вызывая kdb5_util, не надо указывать опцию - s. В этом случае при каждом запуске сервера Kerberos придется задавать основной ключ.
Администрирование области
Отредактировав конфигурационные файлы Kerberos и вызвав kdb5_utilдля создания основного ключа и инициализации базы данных Kerberos, можно приступать к администрированию области. Этот процесс в основном сводится к определению принципалов. Для выполнения действий по добавлению принципалов необходимо обладать полномочиями администратора.
Информация о принципалах Kerberos хранится в формате ACL (Access Control Lists — списки контроля доступа) в файле, имя которого определяет запись acl_fileв составе kdc.conf. Этот файл содержит строки, представленные в следующем формате:
Принципал_Kerberos Полномочия Целевой_принципал
Несмотря на то что в ACL Kerberos и ACL для файловой системы представляют механизмы контроля доступа, они несколько отличаются друг от друга. ACL файловой системы определяют, кто имеет право доступа к файлам. ACL Kerberos предоставляют права модификации базы данных Kerberos. ACL Kerberos не зависят от средств поддержки ACL файловой системы.
Первое поле (Принципал Kerberos) содержит идентификатор принципала (правила формирования идентификатора принципала были рассмотрены ранее). Любой компонент идентификатора можно заменить символом " *". Например, имя */admin@THREEROOMCO.СОМсоответствует любой основе для экземпляра adminи области THREEROOMCO.СОМ. Подобное определение позволяет предоставить доступ к KDC всем администраторам.
Второе поле (Полномочия) — это код ACL, соответствующего принципалу. Типы полномочий задаются с помощью односимвольных кодов. Назначение символов описано в табл. 6.1. Объединяя разные коды, можно задать различные типы доступа. Например, код aliозначает, что принципал может добавлять пользователей, выводить списки принципалов и передавать запросы базе данных.
Таблица 6.1. Коды полномочий в файле ACL
| Код | Описание |
|---|---|
а |
Позволяет добавлять принципалов или политики |
А |
Запрещает добавлять принципалов или политики |
d |
Позволяет удалять принципалов или политики |
D |
Запрещает удалять принципалов или политики |
m |
Позволяет модифицировать принципалов или политики |
M |
Запрещает модифицировать принципалов или политики |
с |
Позволяет изменять пароли принципалов |
С |
Запрещает изменять пароли принципалов |
i |
Позволяет передавать запросы базе данных |
I |
Запрещает передавать запросы базе данных |
1 |
Позволяет выводить списки принципалов или политик из базы данных |
L |
Запрещает выводить списки принципалов или политик из базы данных |
xили * |
Признак групповой операции |
Последнее поле (Целевой принципал) может отсутствовать. Оно определяет имена принципалов, к которыми применяются заданные полномочия. Например, вы можете ограничить возможности пользователя по доступу и модификации прав конкретных принципалов. Как и при определении принципала Kerberos, в идентификаторе целевого принципала можно использовать символ " *".
Рассмотрим в качестве примера следующую запись:
*/admin@THREEROOMCO.COM *
Эта запись предоставляет всем принципалам экземпляра adminполный доступ к базе данных Kerberos. Подобная запись включается в файл по умолчанию. Первое, что надо сделать, — модифицировать запись так, чтобы она соответствовала нужной вам области.
Для администрирования базы пользователей Kerberos применяются программы kadminи kadmin.local. Программа kadminпозволяет администрировать KDC с удаленного компьютера; она организует обмен шифрованными сообщениями. Программа kadmin.localдает возможность модифицировать базу данных без применения сетевых средств. Вначале необходимо с помощью kadmin.localсоздать хотя бы одного пользователя, обладающего правами администратора, затем можно использовать kadminдля работы с удаленного узла. Очевидно, что удаленное администрирование можно осуществлять только в том случае, если на узле присутствуют специализированные серверы Kerberos, предназначенные для выполнения подобных задач.
При запуске программ kadminи kadmin.localможно задавать различные параметры, определяющие имя принципала, область, администрирование которой будет выполняться, и т.д. Подробную информацию о поддерживаемых параметрах можно получить, обратившись к соответствующим разделам справочной информации. После запуска программы надо ввести команды и данные, которые она запрашивает. Например, чтобы добавить принципала admin/admin@THREEROOMCO.COMнеобходимо задать команду addprinc.
# kadmin.local
Authenticating as principal root/admin@THREEROOMCO.COM with
password.
kadmin.local: addprinc admin/admin@THREEROOMCO.COM
WARNING: no policy specified for admin/admin@THREEROOMCO.COM;
defaulting to no policy
Enter password for principal "admin/admin@THREEROOMCO.COM":
Re-enter password for principal "admin/admin@THREEROOMCO.COM":
Principal "admin/admin@THREEROOMCO.COM" created.
Как обычно, при вводе пароля символы не отображаются на экране. Не следует использовать в качестве административного пароля основной ключ.
После создания принципала, предназначенного для администрирования, вам надо сформировать для него ярлык (keytab). Ярлык — это ключ, который Kerberos использует для расшифровки административных билетов. Вам нет необходимости задавать этот ключ; Kerberos сгенерирует его самостоятельно. Достаточно лишь указать системе на необходимость выполнения этого действия, для чего следует в среде kadmin.localвызвать команду ktadd.
Интервал:
Закладка:
