Felhasználó hitelesítése

A felhasználó azonosságát az azonosítás és hitelesítés határozza meg.

Minden felhasználónak be kell jelentkeznie a rendszerbe. A felhasználó megadja egy fiók felhasználói nevét és egy jelszót, amennyiben a fiók rendelkezik jelszóval is. (Biztonságos rendszerekben minden felhasználónak rendelkeznie kell jelszóval, vagy tiltottnak kell lennie.) Ha a jelszó megfelelő, akkor a felhasználó bejelentkezik az adott fiókba, vagyis megkapja az adott fiók hozzáférési jogait és privilégiumait. A felhasználói jelszavakat az /etc/passwd és az /etc/security/passwd fájlok tárolják.

A felhasználói meghatározások alapértelmezésben a Fájlok nyilvántartásban találhatók. Ez azt jelenti, hogy a felhasználói fiók információi egyszerű ASCII szöveges fájlokban tárolódnak. A bedolgozó modulok segítségével azonban a felhasználókat más nyilvántartásokban is meg lehet adni. Ha például a felhasználó adminisztrációhoz LDAP bedolgozómodult használ, akkor a felhasználói meghatározások egy LDAP címtárban tárolódnak. Ebben az esetben a felhasználókhoz nem tartozik bejegyzés az /etc/security/user fájlban (ez alól kivételt csak a SYSTEM és a registry felhasználói attribútum képez). Amikor a felhasználó hitelesítés egy összetett betöltődő modul (például egy hitelesítési- és adatbázis résszel rendelkező betöltődő modul) segítségével történik, akkor az adatbázis rész határozza meg az AIX felhasználói információk adminisztrációjának módját, míg a hitelesítési modul felelős a hitelesítéssel és jelszavakkal kapcsolatos adminisztrációért. A hitelesítési rész ezenkívül a felhasználói fiók hitelesítéssel kapcsolatos adminisztrációs jellemzőit is kezeli bizonyos betöltődő modul felületek megvalósításával (newuser, getentry, putentry stb).

Ezt a hitelesítési módszert az /etc/security/user file fájlban meghatározott SYSTEM és nyilvántartás attribútumok vezérlik. A rendszeradminisztrátor megadhatja az authcontroldomain attribútumot az /etc/security/login.cfg fájlban annak kikényszerítéséhez, hogy a SYSTEM és nyilvántartás attribútumok az authcontroldomain tartományból legyenek lekérve. Például az authcontroldomain=LDAP arra kényszeríti a rendszert, hogy az LDAP címtárból kikeresse a felhasználóhoz tartozó SYSTEM és nyilvántartás attribútumot, hogy meghatározza a felhasználóhoz használt hitelesítési módszert. Kivételt képeznek ez alól a helyileg meghatározott felhasználók, ahol az authcontroldomain beállítás figyelmen kívül marad, és a SYSTEM és a nyilvántartás mindig az /etc/security/user fájlból kerül kikeresésre.

Az authcontroldomain attribútumhoz elfogadható token: fájlok vagy egy szakasz neve a /usr/lib/security/methods.cfg fájlból.

A SYSTEM attribútum értékét meghatározott szabályok szerint lehet megadni. Ennek a "nyelvtannak" a segítségével a rendszeradminisztrátorok akár több módszert is kombinálhatnak egy felhasználó hitelesítéséhez. A közismert módszer tokenek: compat, DCE, files és NONE.

Az alapértelmezés a compat. Az alapértelmezett SYSTEM=compat beállítás a helyi hitelesítési adatbázis használatát írja elő. Ha a feloldás sikertelen, akkor a rendszer a Hálózati információs szolgáltatás (NIS) adatbázissal próbálkozik. A files token esetében csak a helyi fájlok használhatóak, míg a SYSTEM=DCE egy DCE hitelesítési folyamatot indít el.

A NONE token kikapcsolja a hitelesítési metódusok használatát. Minden hitelesítés kikapcsolásához a NONE tokennek a felhasználói szakasz SYSTEM és auth1 sorában is szerepelnie kell.

Két vagy több metódus kombinálását az AND és OR logikai operátorokkal írhatja elő. Például: SYSTEM=DCE OR compat . Ez azt jelzi, hogy a felhasználó akkor jelentkezhet be, ha a DCE vagy a helyi hitelesítés (crypt()) ebben a sorrendben sikerrel jár.

Ehhez hasonló módon a rendszeradminisztrátor hitelesítési betöltődő modulok neveit is felhasználhatja a SYSTEM attribútumban. Ha például a SYSTEM attribútum értéke "SYSTEM=KRB5files OR compat", akkor a AIX hoszt először egy Kerberos hitelesítési folyamatot indít el, és ha az sikertelen, akkor megpróbálkozik a szabványos AIX hitelesítéssel.

A SYSTEM és registry attribútumok mindig a helyi fájlrendszeren tárolódnak a /etc/security/user fájlban. Ha egy AIX felhasználó meg van adva az LDAP címtárban és a SYSTEM és registry attribútumok megfelelően vannak beállítva, akkor az /etc/security/user fájlban a felhasználóhoz tartozik egy bejegyzés.

A felhasználó SYSTEM és registry attribútuma a chuser paranccsal változtatható meg.

A SYSTEM attribútum elfogadható tokenjei az /usr/lib/security/methods.cfg fájlban adhatók meg.

Alternatív hitelesítési módszerek a /etc/security/user fájlban megadott SYSTEM attribútummal integrálhatók a rendszerbe. Az Osztott számítási környezet (DCE) például szintén igényel jelszavas hitelesítést, de a jelszavakat az etc/passwd és az /etc/security/passwd fájlokban alkalmazott titkosítási modelltől eltérő módszerrel ellenőrzi. A DCE módszerrel hitelesített felhasználókra vonatkozó szakasz az /etc/security/user fájlban SYSTEM=DCE értékre lehet állítva.

További SYSTEM attribútumérték például a compat, a files és a NONE. A compat token akkor használható, ha a névfeloldás (és az azt követő hitelesítés a helyi adatbázist követi, és ha nem található feloldás, akkor próbálkozik meg a rendszer a Hálózati információs szolgáltatás (NIS) adatbázissal. A files token azt adja meg, hogy a hitelesítés során csak a helyi fájlok kerülnek felhasználásra. Végül a NONE token kikapcsolja a módszer hitelesítést. Minden hitelesítés kikapcsolásához a NONE tokennek a felhasználói szakasz SYSTEM és auth1 sorában is szerepelnie kell.

A SYSTEM attribútumhoz további elfogadható tokenek az /usr/lib/security/methods.cfg fájlban adhatók meg.

A jelszavak védelméről további információkat az Operációs rendszer és eszközkezelés című kiadványban talál.