远程访问的验证和授权
验证是用户尝试访问远程系统时控制访问的一种方法。可以同时在系统级别和网络级别设置验证。授予用户对远程系统的访问权限后,可以通过授权来限制该用户可执行的操作。下表列出了提供验证和授权的服务。
表 1-3 远程访问的验证服务
|
|
|
|
IPsec
|
IPsec 提供了基于主机和基于证书的验证以及网络通信流量加密。
|
|
|
Kerberos
|
Kerberos 使用加密功能对登录系统的用户进行验证和授权。
|
|
|
LDAP
|
LDAP 目录服务可以在网络级别同时提供验证和授权。
|
|
|
远程登录命令
|
使用远程登录命令,用户可以通过网络登录到远程系统并使用其资源。例如,rlogin、rcp 和 ftp 就是远程登录命令。如果是可信主机,则会自动执行验证。否则,系统会要求进行自我验证。
|
|
|
SASL
|
简单验证和安全层 (Simple Authentication and Security Layer, SASL) 是一种为网络协议提供验证和可选安全性服务的框架。可以使用插件来选择相应的验证协议。
|
|
|
安全 RPC
|
安全 RPC 通过对远程计算机上发出请求的用户进行验证来提高网络环境的安全性。可以使用 UNIX、DES 或 Kerberos 验证机制来实现安全 RPC。
|
|
|
|
安全 RPC 还可用于在 NFS 环境中提供额外的安全性。具有安全 RPC 的 NFS 环境称为安全 NFS。
|
|
|
安全 Shell
|
安全 Shell 对不安全网络上的网络通信进行加密。安全 Shell 通过使用口令和/或公钥来提供验证。
|
|
|
安全 RPC 的可能替代项是 Oracle Solaris 特权端口机制。为特权端口指定的端口号小于 1024。客户机系统验证客户机的凭证之后,此客户机便会使用特权端口与服务器建立连接。然后,服务器通过检查连接的端口号来检验客户机凭证。
未运行 Oracle Solaris 软件的客户机可能无法使用特权端口进行通信。如果客户机无法通过此端口进行通信,则会显示类似如下的错误消息:
“Weak Authentication
NFS request from unprivileged port”