浅析Linux的模块验证（2）

　　方案一：通过SMB的SSH
　　
　　我们要建立的第一个方案将是经过调整的Linux服务器，这样通过安全外壳协议（SSH）连接至该服务器的任何服务都可以通过服务器消息块（SMB）进行验证，以便访问Windows服务器。虽然Windows NT 3.51、NT4、2000或XP服务器都可以，我们还是使用了微软的Windows 2000 Advanced Server。
　　
　　虽然SSH协议使用口令或证书密钥用来验证，但SMB验证只使用口令。我们把口令用于SSH会话。如果使用证书，SMB验证就不会参与验证过程。你可以使用能够识别PAM的任何SSH服务器，不过我们推荐随同Red Hat 7.2交付、已经集成到里面的OpenSSH服务器。
　　
　　为此，我们需要Red Hat Linux7.2系统默认状态下不包括的一个PAM模块（欲了解下载及编译该模块的信息，请见下面附文“PAM中的Windows Domain验证”以及SMB口令发问/应答验证）。
　　
　　“通过SMB口令发问/应答的SSH服务验证”显示了我们的设置。在Linux SSH服务器上，确保通过运行rpm -q openssh openssh-server指令来安装SSH服务器，指令输出结果应该如下：
　　
　　openssh-2.9p2-7
　　openssh-server-2.9p2-7
　　
　　版本号会有所不同。
　　
　　只要编辑/etc/ssh/sshd_config文件，就可以配置SSH服务器，不过默认值应该可以接受。SSH协议使用口令或证书密钥用于验证。就这个例子而言，我们想要使用口令，但这也是SSH的默认值。
　　
　　我们安装并配置了pam_smb，然后编辑/etc/pam.d/sshd，以便内容类似“修改后的SSHD PAM配置”图(这样做只须添加一行，即最上头的auth行)。
　　　
　　修改后的SSHD PAM配置
　　
　　我们指示PAM系统：如果出现SSH连接，应该首先利用SMB验证来证实SSH用户。如果Windows域接受提供的用户名/口令对，就允许用户访问。如果禁止，就根据系统验证配置进行验证。要是这也失败，就拒绝用户访问。SSH服务器经配置后，使用pam_smb模块作为验证的规则。
　　
　　最后，我们要为Linux服务器和Windows域添加用户。这种解决方案显然存在一个不足：我们提供的是企业可伸缩验证机制，而不是企业可伸缩帐号管理机制。
　　
　　我们必须设法确保：对Windows域的每个用户而言，Linux服务器上的是同一用户(见下面的附文“面向Unix的Windows 2000服务”)。我们将利用Windows上的User Manager、在Linux上运行useradd手工添加用户。你要为Windows域中的新用户帐号提供口令，但可能不需要为Linux帐号提供口令，因为该口令无法与Windows域口令保持同步。然而如果有Linux口令，可以作为应付万一Windows域拒绝口令的一种退路。
　　
　　用户通过SSH连接到Linux服务器后，用户的客户软件就会发送口令到服务器（通过加密隧道）。服务器连接到主域控制器(PDC)或后备域控制器(BDC)，并要求名为SMBNegProt请求的验证协商。作为对SSH服务器的响应，PDC会发出SMBNegProt响应，里面包括口令发问。SSH服务器利用从用户处收到的口令，对SMBsesssetupX请求中的口令发问作出响应。
　　
　　如果用户在SSH连接开始时提供的口令与用户在Windows域中的一模一样，PDC就会发出确认性的SMBsesssetupX响应。SSH服务器收到确认性响应后，许可用户通过SSH继续登录到Linux服务器。口令永远不会以明文格式传输。
　　
　　方案二：通过Active Directory/Kerberos的POP/IMAP
　　
　　第二个方案就是配置Linux服务器，以便经由邮局协议(POP)或因特网消息访问协议(IMAP)电子邮件服务连接到Linux服务器的任何用户都可以通过Kerberos安全系统进行验证，从而访问Windows服务器。这使你可以在Windows域中建立Linux服务器从而使用电子邮件，而不需要购买基于Windows的电子邮件解决方案。几种电子邮件客户软件如微软的Outlook Express、网景的Messenger和高通的Eudora都可以进行配置，以便Linux服务器用于管理出站和入站电子邮件。这些客户软件甚至可以通过SSL与Linux服务器通信，确保口令的保密性。这只适用于Windows Active Directory域。"通过Kerberos的POP服务验证"图显示了我们的配置。
　　　
　　通过Kerberos的POP服务验证
　　
　　注意：通过Active Directory/Kerberos域验证SSH连接，这完全同通过SMB域验证POP和IMAP连接一样简单。其实，其它任何验证机制同样简单(这体现了PAM的最终价值)。你恐怕需要以同样的机制验证Linux服务器提供的所有服务，无论是面向Windows 200以前版本的域的SMB验证，还是面向Windows 2000 Active Directory或面向Kerberos域的Active Directory/Kerberos验证。
　　
　　为此，我们需要名为pam_krb5的另一个PAM模块。为了确保它安装在Red Hat Linux 7.2系统上，请运行rmp -q pam_krb5命令，应该会得到结果：pam_krb5-1.46-1。
　　
　　然后我们要配置Linux服务器上的Kerberos，但首先需要一些信息。我们必须知道密钥分配中心(KDC)，它含有Windows PDC的名字或IP地址。为了方便，我们把KDC命为pdc.domain.net。要是DNS服务器安全受危及，你会希望使用KDC的IP地址。我们还使用DNS服务器作为Kerberos管理服务器。
　　
　　我们还要知道区域名。区域相当于Windows Active Directory名的Kerberos，而Active Directory名又往往是DNS域名。Active Directory名并不总是与DNS域名一样，但在PDC启动时赞成使用。为了方便，区域取名为DOMAIN.NET(区域必须大写)。
　　
　　有了这些信息，可以编辑/etc/krb5.conf文件，该文件里面含有多个分段。每个分段用形式为[section_name]的分段名字符串加以描述。/etc/krb5.conf文件的分段数可能多于这里所列示的。如果这样的话，多余分段不用去管。修改或增添相应分段，以便内容类似“Linux服务器上的/etc/krb5.conf设置”。
　　
　　Linux服务器上的/etc/krb5.com设置