3.26. Настройка аутентификации

Если вы выполняете установку типа Рабочая станция или Сервер, перейдите к разделу 3.27 Выбор групп пакетов.

Вы можете пропустить этот этап, если не собираетесь устанавливать сетевые пароли. Если вы не уверены, нужны ли вам сетевые пароли, обратитесь к системному администратору.

Если не используется NIS, вы увидите, что выделены только опции паролей MD5 и shadow (см. Рисунок 3-24). Мы рекомендуем в целях безопасности использовать обе эти опции.

Для того, чтобы настроить опцию NIS, вы должны быть подключены к сети NIS. Если вы не уверены, подключены ли вы к сети NIS, обратитесь к системному администратору.

• Разрешить пароли MD5 (Enable MD5 passwords) — позволяет использовать длинные пароли (до 256 символов) вместо стандартных, которые имеют длину не более восьми символов.

• Разрешить скрытые пароли (Enable shadow passwords) — обеспечивает безопасный способ хранения паролей. Пароли хранятся в каталоге /etc/shadow, доступ к которому имеет только пользователь root.

• Разрешить NIS (Enable NIS) — позволяет вам запустить группу компьютеров в одном домене сетевой информационной службы (Network Information Service) с общими паролем и файлом группы. Вы можете выбрать одну из трех опций:

  • Домен NIS (NIS Domain) — позволяет указать домен или группу компьютеров, к которой принадлежит ваша система.

  • Использовать бродкаст для поиска сервера NIS (Use broadcast to find NIS server) — позволяет транслировать в локальную сеть запрос для нахождения доступного NIS сервера.

  • Сервер NIS (NIS Server) — указывает вашему компьютеру использовать определенный сервер NIS, а не транслировать в локальную сеть запрос любому доступному серверу.

  	Обратите внимание
  	Если в процессе установки вы выбрали средний или высокий уровень безопасности брандмауэра, сетевые методы аутентификации (NIS и LDAP) работать не будут.

• Разрешить LDAP (Enable LDAP) — указывает вашему компьютеру использовать LDAP для некоторых или всех аутентификаций. LDAP объединяет определенные типы информации внутри вашей организации. Например, все различные списки пользователей могут быть объединены в одной директории LDAP. Для получения более подробной информации по LDAP посмотрите, пожалуйста, Red Hat Linux Reference Guide, Облегченный протокол службы каталогов (Lightweight Directory Access Protocol (LDAP)). У вас есть следующий выбор:

  • Сервер LDAP (LDAP Server) — позволяет установить связь с указанным сервером LDAP (путем указания IP адреса).

  • LDAP Base DN — позволяет искать пользовательскую информацию по отличительному имени (Distinguished Name (DN)).

  • Разрешить TLS (Transport Layer Security) — эта опция позволяет LDAP посылать серверу LDAP зашифрованные имена и пароли пользователей перед аутентификацией.

• Разрешить Kerberos (Enable Kerberos) — Kerberos является безопасной системой обеспечения служб сетевой аутентификации. Для получения более подробной информации по LDAP посмотрите, пожалуйста, раздел Kerberos в Red Hat Linux Reference Guide. Сделайте выбор из трех опций:

  • Realm — эта опция позволяет войти в сеть, использующую Kerberos, состоящую из одного или нескольких серверов (также называемых KDC) и потенциально большого количества клиентов.

  • KDC — эта опция позволяет получить доступ к Центру распределения ключей (Key Distribution Center (KDC)). KDC является компьютером, который раздает паспорта Kerberos (иногда его также называют Ticket Granting Server или TGS).

  • Админ. сервер (Admin Server) — эта опция позволяет получить доступ к серверу, на котором запущен kadmind.

• Разрешить аутентификацию SMB (Enable SMB Authentication) — указывает PAM использовать сервер SMB для аутентификации пользователей. Вам нужно указать следующую информацию:

  • Сервер SMB (SMB Server) — указывает, к какому серверу SMB будет подсоединяться ваша рабочая станция для аутентификации.

  • Рабочая группа SMB (SMB Workgroup) — указывает, в какой рабочей группе находятся сконфигурированные SMB серверы.

	Совет
	Чтобы изменить настройку аутентификации после завершения установки, используйте команду authconfig. Наберите команду authconfig в командной строке. Если в этот момент вы не являетесь пользователем root, вам предложат ввести пароль пользователя root, чтобы разрешить вам вносить изменения.