Загружаемые модули идентификации позволяют системному администратору расширить функции идентификации системы. Администрирование информации о пользователях для загружаемых модулей идентификации позволяют выполнять стандартные команды администрирования локально определенных пользователей: mkuser и chuser. Некоторые загружаемые модули идентификации, такие как DCE, могут поддерживать ограниченное число операций, например, вход в систему, изменение имени пользователя или удаленное выполнение команд. Другие модули, такие как LDAP, поддерживают полный набор функций локальных баз данных пользователей.
Определения загружаемых модулей идентификации хранятся в файле /usr/lib/security/methods.cfg . Разделы этого файла содержат определение методов, с помощью которых системный администратор может создать, удалить, изменить или просмотреть учетную запись пользователя или группы. После настройки учетные записи применяются точно так же, как и локальные учетные записи, определенные в файлах /etc/passwd и /etc/group.
Примечание: Загружаемые модули идентификации могут не поддерживать некоторые операции. Список поддерживаемых операций приведен в документации для конкретного модуля идентификации.
Команды администрирования поддерживают опцию -R модуль, которая позволяет указать конкретный модуль. Модуль - имя раздела файла /usr/lib/security/methods.cfg. При создании учетной записи может быть задано имя модуля, указывающее на расположение учетной записи. Это имя модуля будет применяться для всех операций администрирования данной учетной записи. Для уникальных учетных записей после создания не нужно использовать флаг -R. Команда определит имя модуля, соответствующего учетной записи и автоматически выполнит операцию с этим модулем.
Администрирование учетных записей пользователей и групп, расположенных в загружаемом модуле идентификации, может осуществляться с помощью Web-администратора системы. Команды lsuser и lsgroup поддерживают поиск имен всех учетных записей, если загружаемый модуль идентификации предоставляет список всех известных пользователей и групп. Информация о поддержке данной опции приведена в документации для конкретного модуля идентификации.
Загружаемые модули идентификации существуют в виде отдельных или простых загружаемых модулей и пар загружаемых модулей, известных также как составные модули. В составном загружаемом модуле один загружаемый модуль выполняет функцию хранения данных, а другой - функцию идентификации.
Простой загружаемый модуль определяется одним разделом файла methods.cfg. В разделе определяется имя модуля для команд администрирования и атрибутов SYSTEM и registry в файле /etc/security/user . Атрибут program описывает расположение загружаемого модуля. Атрибут program_64 применяется в 64-разрядных средах.
В примере показана настройка простого загружаемого модуля идентификации LDAP:
LDAP: program = /usr/lib/security/LDAP program_64 = /usr/lib/security/LDAP64
Составной загружаемый модуль определяется двумя или тремя разделами файла methods.cfg. Составной модуль формируется путем объединения функций модуля хранения и получения данных с функциями модуля идентификации. Каждый из двух модулей определяется отдельным разделом, которые могут быть объединены третьим разделом.
Ниже приведен пример объединения модуля LDAP с модулем идентификации AFS для поддержки идентификации AFS для пользователей LDAP. В приведенном ниже примере к модулю LDAP добавляется идентификация AFS.
AFS: program = /usr/lib/security/AFS options = authonly LDAP: program = /usr/lib/security/LDAP program_64 = /usr/lib/security/LDAP64 options = auth=AFS
В приведенном ниже примере для выполнения той же задачи отдельно определенные модули LDAP и AFS объединяются третьим разделом файла настройки. Этот способ применяется, когда пользователи определены в одной базе данных, но настроено несколько механизмов идентификации.
AFS: program = /usr/lib/security/AFS options = authonly LDAP: program = /usr/lib/security/LDAP program_64 = /usr/lib/security/LDAP64 LDAPAFS: options = auth=AFS,db=LDAP
Примечание: Учетные записи пользователей и групп могут быть определены различных расположениях, если модулю хранения и получения данных соответствует несколько разделов. Для того чтобы избежать ошибок, измените для модуля метод идентификации с помощью опции auth=. Если для пользователей, описанных в модуле, применяются различные методы идентификации, то вместо применения составного загружаемого модуля рекомендуется задать атрибут SYSTEM.
Модуль, на который ссылается другой раздел необходимо определить до такой ссылки. Раздел, содержащий ссылку на несуществующий раздел, игнорируется.
Раздел, указанный в опции db= и auth=, будет исключен из списка загружаемых модулей, который применяется, если в команде не указан конкретный модуль. На раздел могут ссылаться несколько разделов составного модуля. По этой причине учетные записи могут быть определены в нескольких модулях.
Каждый модуль обладает собственной стратегией для администрирования учетных записей пользователей и групп. Модуль может предоставлять права доступа на администрирования пользователю root или применять другой механизм для предоставления прав доступа пользователю. Подробная информация приведена в документации конкретного загружаемого модуля идентификации.
Каждый загружаемый модуль содержит определение набора пользователей и групп. Загружаемый модуль должен содержать все взаимозависимые определения пользователей и групп. Учетные записи групп и ссылающиеся на них учетные записи пользователей должны быть определены в одном и том же загружаемом модуле. Определения учетных записей пользователей, являющихся членами группы должны находиться в одном модуле с определением учетной записи этой группы.
Права доступа предоставляются на основе действующего идентификатора группы или пользователя процесса, а не имени пользователя или группы. Если несколько методов определяют одно и то же имя пользователя или группы, цифровой идентификатор должен совпадать во всех методах.
Для создания учетных записей пользователей и групп применяются те же инструменты, что и для создания учетных записей локальных пользователей и групп. Имя модуля по умолчанию хранится в файле /usr/lib/security/mkuser.default в атрибуте registry. Команды mkuser и mkgroup проверяют этот атрибут и используют модуль с указанным в нем именем (если он существует) для создания новой учетной записи. Инструменты Web-администратора системы поддерживают создание учетных записей в загружаемых модулей с помощью этого механизма. Имя модуля по умолчанию можно переопределить в обеих командах с помощью флага -R. Инструменты Web-администратора системы не поддерживают флаг -R и создают учетные записи только в реестре, заданном по умолчанию.
Команды lsuser и lsgroup позволяют просмотреть информацию учетных записей пользователей и групп. Команды осуществляют поиск учетной записи во всех загружаемых модулях и выдают информацию, полученную из первого модуля, в котором была обнаружена учетная запись. Конкретный модуль можно указать с помощью флага -R.
Загружаемый модуль идентификации может предоставлять имена всех определенных учетных записей. Эта функция применяется в командах, если вместо имени учетной записи указано значение ALL. Так как при этом проверяются определения всех учетных записей, то выполнение данной операции может занять значительное время.
Все модули поддерживают функции просмотра информации об учетных записях. Модуль не обязательно поддерживает отображение всех атрибутов пользователей или групп. Для учетной записи пользователя минимальный набор отображаемых данных включает имя пользователя, пароль, ИД пользователя, ИД основной группы, полное имя, каталог и оболочку входа в систему. Для учетной записи группы в данный набор входят имя группы, ИД группы и список членов группы.
Для управления учетными записями пользователей и групп предназначены различные команды. Процедуры, описанные в разделе Глава 4, Пользователи и группы, применимы также и к загружаемым модулям идентификации. Команды поддерживают применение дополнительного флага -R, который позволяет указать расположение определений учетных записей. Если флаг -R не будет указан, команда применит модуль, указанный в атрибуте registry.
Некоторые модули не поддерживают запросы на изменение информации учетных записей. При изменении информации учетных записей команда выведет сообщение об ошибке при попытке изменить атрибут. Модули, не поддерживающие интегрированное управление учетными записями, должны предоставлять собственные инструменты администрирования учетных записей.
Для удаления учетных записей пользователей и групп предназначены команды rmuser и rmgroup. Модули могут не поддерживать данную функцию. При попытке удалить учетную запись из загружаемого модуля идентификации, не поддерживающего данную функцию, будет выведено сообщение об ошибке.
При обработке запроса на удаление учетной записи из составного модуля информация удаляется из обоих модулей. Для удаления учетной записи только из одного модуля необходимо указать флаг -R с именем модуля, из которого необходимо удалить учетную запись.
Команды chuser, lsgroup, lsuser, mkuser , rmgroup и rmuser.
Глава 4, Пользователи и группы