17.3.2.1. 客户端和服务器是一体
这个简单的例子展示了 alice su(1)到 root.
$ whoami
alice
$ ls -l `which su`
-r-sr-xr-x 1 root wheel 10744 Dec 6 19:06 /usr/bin/su
$ su -
Password: xi3kiune
# whoami
root
- 这里的applicant (申请人)是 alice.
- 这里的account (帐号)是 root.
- 这里的 su(1) 过程既是客户端也是服务器。
- The authentication token is(认证令牌是) xi3kiune.
- 这里的arbitrator(仲裁)是root, 也就是为什么 su(1) 要 setuid (设置用户标识符) root.
下面这个例子显示了 eve 想启动一个 ssh(1) 连接 到 ssh.gobsd.org, 要求以 bob的身份登录, 并且成功了。 Bob应该选一个更好的密码!
$ whoami
eve
$ ssh [email protected]
[email protected]'s password: god
Last login: Thu Oct 11 09:52:57 2001 from 192.168.0.1
NetBSD 3.0 (LOGIN) #1: Thu Mar 10 18:22:36 WET 2005
Welcome to NetBSD!
$
- applicant (申请人)是 eve.
- client (客户端)是Eve的ssh(1) 进程.
- server (服务器)是 ssh.gobsd.org上的sshd(8) 进程。
- account (帐号)是 bob.
- 认证的 token (令牌)是 god.
- 尽管没有在本例中显示出来, 这里的 arbitrator (仲裁人)是 root.
下例是FreeBSD默认的sshd策略:
sshd auth required pam_nologin.so no_warn
sshd auth required pam_unix.so no_warn try_first_pass
sshd account required pam_login_access.so
sshd account required pam_unix.so
sshd session required pam_lastlog.so no_fail sshd password required pam_permit.so
- 这个策略应用于 sshd 服务 (并非仅局限于 sshd(8) 服务器.)
- auth, account, session 和 password 是功能.
- pam_nologin.so, pam_unix.so, pam_login_access.so, pam_lastlog.so 和 pam_permit.so 是模块。 本例中很明显 pam_unix.so 提供了至少两项功能(认证和帐号管理.)
- 默认请况下, 所有配置全在 /etc/pam.d里设置完成了.
- 如果配置不存在, 你将不能访问系统,相比FreeBSD有一个默认的允许认证策略。
- 为了认证, NetBSD强制至少提供 required, requisite 或 binding 中的一种模块。