疯狂的企鹅系列 单点登录和企业目录（四）(3)

作者: Ti Leggett/黄永兵 译 出处:51CTO.com　2008-03-24 16:02　   砖    好    评论  条 　进入论坛

阅读提示：本文是一个关于保护企业目录以及单点登陆的系列文章，本文是第四部分主要谈论CUPS打印系统、SSH和防火墙规则。

自动化管理LDAP和Kerberos认证

直到今天，LDAP的管理还处于手工编辑LDIF文件和命令行的OpenLDAP工具，Craig Swanson和Matt Lung在他们的文章“OpenLDAP Everywhere Revisited”中指出了一些好点子用于一些GUI管理LDAP的工具，但是他们没有注意到我想要的，GQ，尽管GQ现在的开发活动已经停止了，但1.0beta1版本被证明已经很稳定而且非常有用，如果GQ留有bug，你可能需要给util.c应用一个补丁（参考http://sourceforge.net/projects/gqclient和http://sourceforge.net/tracker/index.php?func=detail&aid=1122365&group_id=3805&atid=103805），最令人激动的是GQ支持SASL认证，这就允许我们使用GUI减轻LDAP的管理，而且，我发现浏览方案时给我显示了对象类和属性，要知道之前我从来都没有找到其他的办法。

如果你曾经做过系统管理员，你就知道强大的脚本完成常见的任务，LDAP的管理是相当复杂的，因此，将这些常见的任务编写成脚本其价值是无价的，Perl和Python都有强大的LDAP模块，你如果阅读了本系列文章的前面几篇，就应该知道我曾经使用过Perl脚本，如smb-create-password.pl和smb-new-machine.pl，但是Python的LDAP模块也一样非常有用，Perl还有Kerberos和SASL的接口，我就不详细解析每个模块的API了，我将给你展示如何使用它们，以及使用LDAP和Kerberos的不同方法。

管理用户和SSH密钥

在http://www.opendarwin.org/en/projects/openssh-lpk为LDAP提供了一个OpenSSH方案，你首先想到的可能是在这个方案中保存主机公钥到某个位置，一种known_host目录，事实上，这就是这个方案创建的目的，将来的OpenSSH版本可能会使用名称服务转换（NSS），查找一个主机密钥不再总是需要包含它们的一个本地文件了，这是一个巨大的改变，因为当主机被添加或移除时你将不再需要推拉known_hosts文件了，但是除非你已经给你的OpenSSH应用了补丁，否则也是没有用的。

在计算协会里，我们已经有一个大型的集群供外部协作使用，这个集群有它自己的网络home目录，因此，它不能加载到一个集中的NFS系统中，我们也不想让基于密码的登陆通过线路传输密码，一般地，这就是使用强制基于GSSAPI的认证的最佳时机，除非我们不控制协作这的桌面，因此，我请求我的一个同事编写了一个脚本来自动完成创建用户home目录并添加一个SSH密钥到她的.authorized_keys文件，因为她选择的是Python语言，mkhomedirs.py就这样诞生了。

那么它是如何工作的呢？当用户被授权允许访问那个集群时，它们被放进cluster-users网络组，这个组也是由LDAP提供了，mkhomedirs.py脚本从cron计划每小时执行一次，检查在cluster-users网络组中的用户列表，看哪个用户还没有home目录，当它发现一个没有home目录的用户时，它就为其创建一个home目录并拷贝必须的文件，如/etc/skel下的文件，一旦用户提供了一个SSH密钥，这个密钥就被添加到LDAP中用户的sshPublicKey属性上，同时，mkhomedirs.py脚本也检查哪个用户还没有~/.ssh/authorized_keys文件，如果一个用户没有那个文件但是在LDAP中有一个密钥，它就创建这个文件并将密钥添加到这个文件里，那么这个用户就可以登陆了。这个脚本没有强加限制：用户的authorized_keys文件包括的密钥必须在LDAP中，增加这样的功能也是不重要的。破坏者经常使用的技巧就是将她/他的SSH密钥添加到用户的authorized_keys文件中，如果你要求列出用户的authorized_keys文件中包括的所有密钥，当发现一个未知的密钥时你可以发出警告。

共5页: 上一页 [1] [2] 3 [4] [5] 下一页

【内容导航】  第 1 页：跟踪你的打印资源使用情况  第 2 页：打印机客户端  第 3 页：自动化管理LDAP和Kerberos认证  第 4 页：自动生成防火墙规则  第 5 页：延伸Kerberos的用途