Uwierzytelnianie użytkowników

Identyfikacja i uwierzytelnianie służą do określenia tożsamości użytkownika.

Każdy użytkownik musi zalogować się w systemie. Podaje on nazwę użytkownika i hasło, jeśli zostało ono przypisane (w chronionym systemie wszystkie konta muszą mieć hasła lub muszą zostać unieważnione). Jeśli hasło jest prawidłowe, użytkownik jest logowany do tego konta; uzyskuje on również prawa dostępu i uprawnienia tego konta. Pliki /etc/passwd i /etc/security/passwd zawierają hasła użytkowników.

Domyślnie użytkownicy są zdefiniowani w rejestrze plików. Oznacza to, że konto użytkownika oraz informacje o grupie przechowywane są w plikach tekstowych (ASCII). W miarę wprowadzania dodatkowych modułów ładowalnych użytkownicy mogą być definiowani także w innych rejestrach. Na przykład, gdy do administrowania użytkowników używany jest moduł wtyczki LDAP, definicje użytkowników przechowywane są w repozytorium LDAP. W takim przypadku w pliku /etc/security/user nie będą zapisywane pozycje dotyczące użytkowników (wyjątek stanowią atrybuty użytkowników SYSTEM i registry). Gdy do administrowania użytkownikami wykorzystywany jest mieszany moduł ładowalny (np. moduły ładowalne z częścią uwierzytelniającą i bazą danych), część dotycząca bazy danych określa, w jaki sposób odbywa się administrowanie informacjami konta użytkownika AIX, a część dotycząca administrowania opisuje czynności administracyjne związane z uwierzytelnianiem i hasłem. Część dotycząca administrowania może także opisywać atrybuty administracyjne konta użytkownika związane z uwierzytelnianiem, przez zaimplementowanie pewnych interfejsów modułu ładowalnego (newuser, getentry, putentry itp.).

Metoda uwierzytelniania jest kontrolowana przez atrybut SYSTEM i atrybuty rejestru zdefiniowane w pliku /etc/security/user. Administrator systemu może zdefiniować atrybut authcontroldomain w pliku /etc/security/login.cfg, aby wymusić pobranie atrybutu SYSTEM i atrybutów rejestru z authcontroldomain. Na przykład ustawienie authcontroldomain=LDAP wymusza wyszukiwanie atrybutów SYSTEM i rejestru użytkownika w serwerze LDAP, aby określić metodę uwierzytelniania dla danego użytkownika. Istnieje jeden wyjątek dla użytkowników zdefiniowanych lokalnie, dla których ustawienie authcontroldomain jest ignorowane i atrybut SYSTEM oraz atrybuty rejestru są zawsze pobierane z pliku /etc/security/user.

Akceptowalnym tokenem dla atrybutu authcontroldomain są pliki lub nazwa sekcji w pliku /usr/lib/security/methods.cfg.

Wartość atrybutu SYSTEM definiowana jest za pomocą gramatyki. Korzystając z tej gramatyki, administratorzy systemów mogą łączyć jedną lub więcej metod w celu uwierzytelnienia poszczególnych użytkowników w systemie. Dobrze znanymi znacznikami metod są compat, DCE, files i NONE.

Wartością domyślną w systemie jest compat. Wartość domyślna SYSTEM=compat informuje system, że w celu uwierzytelniania ma być użyta lokalna baza danych, a jeśli to się nie powiedzie, należy użyć bazy danych NIS (Network Information Services). Znacznik files określa, że podczas uwierzytelniania mają być używane tylko lokalne pliki, natomiast SYSTEM=DCE określa przepływ uwierzytelniania DCE.

Znacznik NONE powoduje wyłączenie metod uwierzytelniania. Aby całkowicie wyłączyć uwierzytelnianie, element NONE musi znajdować się w wierszach SYSTEM i auth1 sekcji użytkownika.

Użytkownik może określić dwie lub więcej metod i połączyć je za pomocą konstruktorów logicznych AND i OR. Na przykład SYSTEM=DCE OR compat wskazuje, że użytkownik może się zalogować, jeśli powiedzie się uwierzytelnianie DCE lub lokalne (crypt()).

W podobny sposób administrator systemu może użyć nazw modułów ładowalnych uwierzytelniania dla atrybutu SYSTEM. Na przykład, gdy atrybut SYSTEM ma wartość SYSTEM=KRB5files OR compat, host AIX najpierw spróbuje przepływu Kerberos w celu uwierzytelnienia, a jeśli się to nie powiedzie, spróbuje standardowego uwierzytelniania AIX.

Atrybuty SYSTEM i registry zawsze przechowywane są w lokalnym systemie plików w pliku /etc/security/user. Jeśli użytkownik AIX został zdefiniowany w katalogu LDAP, a atrybuty SYSTEM i registry są ustawione odpowiednio, wtedy pozycja dla użytkownika będzie znajdowała się w pliku /etc/security/user.

Atrybuty SYSTEM i registry dla użytkownika można zmienić za pomocą komendy chuser.

Dopuszczalne tokeny dla atrybutu SYSTEM mogą zostać zdefiniowane w pliku /usr/lib/security/methods.cfg.

Alternatywne metody uwierzytelniania są zintegrowane w systemie za pomocą atrybutu SYSTEM, który znajduje się w pliku /etc/security/user. Na przykład Rozproszone środowisko przetwarzania danych (Distributed Computing Environment - DCE) wymaga uwierzytelniania hasłem, ale potwierdza to hasło w sposób różny od modelu szyfrowania użytego w plikach /etc/passwd i /etc/security/passwd. Użytkownik uwierzytelniający się za pomocą środowiska DCE może mieć swoją sekcję w pliku /etc/security/user ustawioną na SYSTEM=DCE.

Inne wartości atrybutu SYSTEM to compat, files i NONE. Element compat jest używany w przypadku, gdy tłumaczenie nazw (i kolejne uwierzytelnianie) następuje przy użyciu lokalnej bazy danych, a jeśli tłumaczenie nie zakończy się sukcesem, użyta zostanie baza systemu informacji sieciowej (NIS). Element files określa, że podczas uwierzytelniania mają być używane tylko lokalne pliki. Na koniec element NONE wyłącza metodę uwierzytelniania. Aby całkowicie wyłączyć uwierzytelnianie, element NONE musi znajdować się w wierszach SYSTEM i auth1 sekcji użytkownika.

Inne dopuszczalne tokeny dla atrybutu SYSTEM mogą zostać zdefiniowane w pliku /usr/lib/security/methods.cfg.

Więcej informacji na temat zabezpieczania haseł można znaleźć w książce Zarządzanie systemami operacyjnymi i urządzeniami.