验证是一种在特定用户访问远程系统时,限制这些用户的访问权限的方法。可以同时在系统级别和网络级别设置验证。授权是一种在授予用户访问远程系统的权限之后,限制此用户可执行的操作的方法。下表列出了可提供验证和授权的服务。
表 2–3 远程访问的验证和授权服务
服务 |
说明 |
更多信息 |
---|---|---|
IPsec |
IPsec 提供了基于主机和基于证书的验证以及网络通信流量加密。 | |
Kerberos |
Kerberos 使用加密功能对登录系统的用户进行验证和授权。 |
有关示例,请参见Kerberos 服务的工作方式。 |
LDAP 和 NIS+ |
LDAP 目录服务和 NIS+ 名称服务可以提供网络级别的验证和授权。 |
《系统管理指南:名称和目录服务(DNS、NIS 和 LDAP)》 和 《System Administration Guide: Naming and Directory Services (NIS+)》 |
远程登录命令 |
使用远程登录命令,用户可以通过网络登录到远程系统并使用其资源。rlogin、rcp 和 ftp 是一些远程登录命令。如果是“受信任主机”,则会自动执行验证。否则,系统会要求进行自我验证。 | |
SASL |
简单身份验证和安全层 (Simple Authentication and Security Layer, SASL) 是一种为网络协议提供验证和可选安全性服务的框架。可以使用插件来选择相应的验证协议。 | |
安全 RPC |
安全 RPC 通过对远程计算机发出请求的用户进行验证,可提高网络环境的安全性。可以使用 UNIX、DES 或 Kerberos 验证系统来实现安全 RPC。 | |
|
安全 RPC 还可用于在 NFS 环境中提供额外的安全性。具有安全 RPC 的 NFS 环境称为安全 NFS。安全 NFS 针对公钥使用 Diffie-Hellman 验证。 | |
Solaris 安全 Shell |
Solaris 安全 Shell 可以对不安全网络上的网络通信流量进行加密。Solaris 安全 Shell 通过单独使用口令、公钥或同时使用这两者来提供验证。Solaris 安全 Shell 针对公钥使用 RSA 和 DSA 验证。 |
安全 RPC 的可能替代项是 Solaris 特权端口机制。为特权端口指定的端口号小于 1024。客户机系统验证客户机的凭证之后,此客户机便会使用特权端口与服务器建立连接。然后,服务器通过检查连接的端口号来检验客户机凭证。
未运行 Solaris 软件的客户机可能无法使用特权端口进行通信。如果客户机无法通过此端口进行通信,则会显示类似以下内容的错误消息:
“Weak Authentication NFS request from unprivileged port” |