|
|
@@ -1,5 +1,13 @@
|
|
|
# Защита входа в систему (идентификация и аутентификация пользователей)
|
|
|
|
|
|
+ Идентификация, аутентификация и авторизация – три процесса, которые защищают наши данные от доступа посторонних лиц.
|
|
|
+ Индентификация - это процесс распознования пользователя по его индентификатору
|
|
|
+ Аутентификация - это процедура проверки подлинности
|
|
|
+ Авторизация - предоставление определенных прав, после проверки подлинности
|
|
|
+
|
|
|
+ Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов. Именно от них зависи, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу.
|
|
|
+
|
|
|
+
|
|
|
Подключаемые модули аутентификации (pluggable authentication modules, PAM) являются основной системой аутентификации в ОС семейства Unix, в т.ч. GNU/Linux. PAM пришел на смену встраиваемым механизмам аутентификации в различных приложениях (например, ранее в login была встроена собственная процедура аутентификации, проверяющая введенный пароль с паролем из /etc/passwd или хешем из /etc/shadow).
|
|
|
|
|
|
|
|
|
@@ -18,6 +26,7 @@
|
|
|
|
|
|
|
|
|
-- Непрямая интеграция
|
|
|
+
|
|
|
Прямая интеграция ограничена использованием только аутентификации и идентификационных данных, относящихся к пользователям. Система не получает политики и данные, контролирующие доступ в корпоративных окружениях. Системы Linux могут получать политики (например на sudo), правила контроля доступа хоста, automount, netgroups, SELinux и другие возможности из центрального сервера идентификации. Сервер управления идентификацией обеспечивает централизованное управление системами Linux, давая им идентификаторы, права и предоставляя централизованно управляемые политики для Linux, перечисленные выше. В большинстве корпоративных окружений, пользователи Active Directory должны иметь доступ и к Linux ресурсам. Это может быть достигнуто с помощью установки доверенных отношений между серверами IdM и AD. Диаграмма ниже показывает как пользователи из леса Active Directory получают доступ к системам Linux, входя в домен IdM.
|
|
|
|
|
|
|
|
|
@@ -79,11 +88,11 @@ login: `
|
|
|
Password:
|
|
|
[bebra@localhost bebra]$ `
|
|
|
|
|
|
- В этот раз регистрация прошла успешно, о чём свидетельствует последняя строка примера - приглашение командной строки. Приглашение -- это подсказка, выводимая командной оболочкой и свидетельствующая о том, что система готова принимать команды пользователя. Приглашение может быть оформлено по-разному, более того, пользователь может сам управлять видом приглашения, но почти наверняка в приглашении содержатся входное имя и имя хоста -- в нашем примере это "bebra" и "localhost" соответственно. Заканчивается приглашение чаще всего символом "$".
|
|
|
+ В этот раз регистрация прошла успешно. Приглашение -- это подсказка, выводимая командной оболочкой и свидетельствующая о том, что система готова принимать команды пользователя. Приглашение может быть оформлено по-разному, более того, пользователь может сам управлять видом приглашения, но почти наверняка в приглашении содержатся входное имя и имя хоста -- в нашем примере это "bebra" и "localhost" соответственно. Заканчивается приглашение чаще всего символом "$".
|
|
|
|
|
|
## Идентификация
|
|
|
|
|
|
- Когда система выводит на экран приглашение командной строки после того, как правильно введены имя пользователя и пароль, это означает, что произошла идентификация пользователя (authentication, "проверка подлинности"). Пароль может показаться излишней сложностью, но у системы нет другого способа удостовериться, что за монитором находится именно тот человек, который имеет право на использование данной учётной записи.
|
|
|
+ Когда система выводит на экран приглашение командной строки после того, как правильно введены имя пользователя и пароль, это означает, что произошла идентификация пользователя (authentication, "проверка подлинности").
|
|
|
|
|
|
|
|
|
|
u19-23savkin