【51CTO.com 独家翻译】这是一个关于保护企业目录以及单点登陆的系列文章,共分四部分,本文是第一部分。
如果你想要一个企业目录,但是还没有一个企业预算,你想获得单点登陆的好处,对于你管理维护上和你的用户使用上都将更加简便,如果你想所有这些,加上统一的安全认证和身份管理系统,请继续往下读,我将引导你到系统管理的天堂,在这一系列的文章中,我将告诉你如果建立、增加新的并让它们在一起协同工作,从认证服务器到邮件传递,到客户端集成(包括windows和OS X)都将被讨论,我们覆盖的面将非常广,因此,让我开始吧!
使用早先建立的信息块
我们使用MIT Kerberos V 1.4.1版本和OpenLDAP 2.1.30版本运行在Gentoo Linux上,分别将其作为我们的认证和身份管理服务器系统。我假设你有三个服务器:
kdc.example.com、ldap.example.com和mial.example.com。在我们进一步之前,你应该首先阅读linux journal上文章“Centralized Authentication with Kerberos 5, Part I”【使用Kerberos 5进行集中认证(一)】和“OpenLDAP Everywhere”【无处不在的OpenLDAP】,我们建立在这些文章之上,记住我们的Kerberos范围是ci.example.com,我们的基础DN是o=ci,dc=example,dc=com。同时,所有本文谈到的配置文件在ftp://ftp.ssc.com/pub/lj/listings/issue140/8374.tgz压缩包里。
建立一个SSL认证机构(CA)
这一小节是可选的阅读部分,但是强烈建议给有许多服务器的站点使用SSL,每个服务器都可以对自己签发证书,但是运行你自己的CA会有很多好处,如果你对OpenSSL的细节感兴趣,我强烈建议你阅读这本书《Network Security with OpenSSL》【有OpenSSL的网络安全】。
我们选择/etc/ssl/example.com作为存储所有经过签名的证书、证书撤销列表(CRL)和帐户信息的基础目录。一旦这个目录创建好后,我们将在这个基础下创建目录证书、CRL、新证书和私有信息。我们创建一个空文件/etc/ssl/example.com/index.txt,然后再创建一个文件/etc/ssl/example.com/serial:
# touch /etc/ssl/example.com/index.txt
# echo '01' > /etc/ssl/example.com/serial
最后,我们创建CA的OpenSSL配置文件/etc/ssl/example.com/ca-ssl.conf。
要创建一个自我签名的CA证书,我们必须作为/etc/ssl/example.com目录及其子目录的
所有者登陆,它可能是root用户:
# export OPENSSL_CONF=/etc/ssl/example.com/ca-ssl.cnf
# openssl req -x509 -days 3650 -newkey rsa \
-out /etc/ssl/example.com/ci-cert.pem -outform PEM
# cp /etc/ssl/example.com/ci-cert.pem /etc/ssl/certs
# /usr/bin/c_rehash /etc/ssl/certs
要获取关于openssl req命令的详细信息,请查看req(1)的帮助页面【man req 1】。
将CA密钥的密语放在一个安全的地方是非常重要的,因为如果CA私钥被泄露出去的话,所有之前签名的证书全部都不能再信任了,同时,看守真实的CA机器和对它的安全访问也是很重要的,你看守的机器安全性如何,与你的真实安全需求吻合吗,如果未经授权的用户获得了物理或网络访问权限,他们就可以访问到CA的私钥。正如我前面提到的,CA私钥泄露实际上是泄露了整个信任链,使得所有签名的证书都变成可疑的和不能信任的,建议CA机器只能物理接触而不能通过网络访问,为了在这种环境下签名证书,你要使用注册当局(RA)来接收证书签名请求(CSR),然后传输CSR到安全的可移动的介质,再放到CA机器上对CSR签名,证书再写回到可移动介质替换掉RA上的,让终端用户可疑检索它。如果你认为你需要这个的话,OpenCA项目就是为这类安全设计的,它还支持存储签名的证书到LDAP中。
我们已经为我们的CA创建了一个OpenSSL配置文件,但是它仅仅描述了如何请求和签名证书,我们还需要创建一个OpenSSL配置文件使用它请求正常的主机和用户证书:/etc/ssl/example.com/ssl.cnf,客户端配置比CA更复杂,因为客户端证书出现了更多的变化。
现在我们已经有一个客户端配置文件了,让我们为LDAP服务器生成一个主机证书,可以在一个正常用户下产生一个CSR:
# export OPENSSL_CONF=/etc/ssl/example.com/ssl.cnf
# openssl req -new -nodes -keyout ldap-key.pem \
-out ldap-req.pem
openssl选项的使用与生成CA CSR一样,只增加了一个新选项-nodes选项,创建一个不加密的私钥。
下一步是通过CA对CSR签名,得到公共证书,需要再一次用root来执行:
# export OPENSSL_CONF=/etc/ssl/example.com/ssl.cnf
# openssl ca -policy policy_anything -out \
ldap-cert.pem -in ldap-req.pem
到现在为止,我们有三个文件:ldap-cert.pem(公共证书)、ldap-key.pem(私钥)和ldap-req.pem(CSR)。一旦证书被CA签名CSR将被丢掉,再说一次,保护私钥非常重要,特别是它没有加密的时候,它应该归root所有,并将其权限设置为0400。
| 共4页: 1 [2] [3] [4] 下一页 | ||||||
|
|
· 提高警惕 勿让僵尸蚕食.. · NAC安全访问控制 · 测试Cisco NAC解决方案 · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 安全专家浅谈面向业务.. · 双击电脑硬盘驱动器无.. · 虚拟化技术潜在的安全.. · 中小企业数据保护解决.. · 备份:保护虚拟机的关键 · 广东信息安全保护有新.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · Sniffer安全技术从入门.. · SOA 面向服务架构 · ADSL应用面面俱到 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · Sniffer安全技术从入门.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 |
|||
