当用户登录入 GTES11 系统,其用户名和口令的组合必须被校验或验证(authenticated)以判定他是否为有效的活跃用户。有时,用于校验用户的信息位于本地系统;有时,系统把验证推延给远程系统上的用户数据库。 证配置工具提供了配置 NIS、LDAP、和 Hesiod 来检索用户信息,以及把 LDAP、Kerberos、和 SMB 配置成验证协议的图形化界面。 从桌面上启动图形化版本的 验证配置工具,选择面板上的主菜单选择系统设置中的验证项。也可以在 shell 提示下键入 authconfig 命令进行手工配置。
用户信息标签上有几个选项。要启用选项,点击它旁边的空白复选框。要禁用选项,点击它旁边的复选框来清空它。如果确定上述的改变,则点击确定保存所进行的配置。
图 3-35 验证配置-用户信息
页面上有如下的配置区域:
-
缓存用户信息:选择该选项来启用名称服务缓存守护进程(nscd),并配置它在引导时启动。你必须安装了 nscd 软件包才能使这个选项奏效。
-
启用NIS支持:选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击配置NIS按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。你必须安装了 ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持,portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。
-
启用LDAP支持:选择这个选项来配置系统来通过 LDAP 检索用户信息。点击“配置 LDAP”按钮来指定“LDAP 搜索基准 DN”和“LDAP 服务器”。如果“使用 TLS 来加密连接”被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。你必须安装 openldap-clients 软件包才能使这个选项奏效。
-
启用Hesiod支持:选择这个选项来配置系统来从远程 Hesiod 数据库中检索信息,包括用户信息。你必须要安装 hesiod 软件包。
-
启用Winbind支持:选择这个选项使系统可以连接到Windows Active Directory或者Windows domain controller。
验证标签允许你配置网络验证方法。要启用选项,点击它旁边的空白复选箱。要禁用选项,点击它旁边的复选箱来清空它。
图 3-36 验证配置-验证
标签中有以下的配置区域:
-
使用屏蔽口令:选择这个选项来在 /etc/shadow文件中而不是 /etc/passwd 文件把口令贮存为屏蔽口令格式。屏蔽口令在安装中被默认启用,它也是我们极力推荐你用来增加系统安全性的措施。你必须安装了 shadow-utils 软件包才能使这个选项奏效。
-
使用MD5口令:选择这个选项来启用 MD5 口令。它会允许长达 256 个字符的口令而不同是通常的少于八个字符的口令。该选择在安装中被默认选择,它也是我们极力推荐你用来增加系统安全性的措施。
-
启用LDAP支持:选择这个选项来让标准的启用 PAM 的应用程序使用 LDAP 来验证。点击“配置 LDAP”按钮可以指定三种信息。使用TLS来加密连接,LDAP搜索基准DN,LDAP服务器。你必须安装了 openldap-clients 软件包才能使这个选项奏效。
-
启用Kerberos支持: 选择这个选项来启用 Kerberos 验证。点击“配置 Kerberos”按钮来配置,可以进行三种配置。
领域:配置 Kerberos 服务器的领域。领域是使用 Kerberos 的网络,由一个或多个 KDC,以及大量客户组成。
KDC:定义密钥分发中心(KDC)。它是分发 Kerberos 门票的机器。
管理服务器:指定运行 kadmind 的管理服务器。
你必须安装 krb5-libs 和 krb5-workstation 软件包才能使这个选项奏效。
工作组:指定要使用的 SMB 工作组。
域控制器:指定要使用的 SMB 域控制器。
