在Linux上有兩種集中式的身份驗證,一種是NIS(network information sysstem),另一種是LADP(輕量級目錄訪問協議)。我們可以實現用戶的身份密碼不在本機,但可以登錄系統。
Nss(name service switch) 名稱服務轉換,即引進一種模塊化方式來,來轉換用戶名或dns服務。PAM可插入式認證模塊,可以靈活的幫你換一種模式來做認證。
在/etc/nsswitch.conf文件中
Hosts: filces dns
定義了查hosts名稱服務,實現先去查找查找/etc/hosts/files,再去用dns.;localfiles,NIS,LDAP protocol vinbind (基於windows的一種身份認證)前幾種都是數據庫。這只是名稱解析服務,但若登錄時驗證用戶的賬號密碼是否匹配,是否可用等。那麼我們實現身份驗證時就用到了nss,Kerberos,LDAP,SmartCard,SMB,winbind.等。這些機制就是用戶身份認證的機制。第二種是網絡服務認證機制。
Nis用來標示你處於那個域,當驗證身份時處於那個域就要到那個域上進行身份驗證。Nis域和dns雖然都是域,都可以實現名稱解析,但兩者並不相干。
Nis通信是明文的,所以並非十分安全。
下面我們演示如何作爲nis域的服務端來實現客戶的身份認證的:
1 定義好nis域。
2 服務端客戶端都需要相應軟件
3 保證rpc服務正常 RPC:遠程過程控制
將客戶端配置成nis域中的某個客戶端。
1 加入nis域
Nisdomainname + name (for example: notexample 隨意取)
若永久生效可以編輯/etc/sysconfig/network 末行添加即可
驗證map服務是否運行正常:service portmap status
服務端裝ypserv 客戶端裝 ypbind
可以通過rpcinfo –p + 對方ip的方式查看對方服務器是否運行正常。通過 rm –qa |’^yp” 查看是否裝上了相應的包。當一切就緒後,我們還需要告訴客戶端服務器是誰。此時我們需要編輯:/etc/yp.conf
添加 domain notexample server + 服務器ip
可以使用yptest 名令來做測試。如:yptest –d notexample
啓動ypbind服務:chconfig ypbind on 可使服務永久生效。
連上服務器並不代表你可以做認證了。還需要編輯nsswitch.conf文件
在passwd,shawd,group,的files 後加上nis
並在hosts 後的 files和 dns之間加上nis