Vintela身份验证服务(VAS)是设计用于将基于UNIX和基于Linux的异类环境元素与基于WindowsServer2003的元素集成在一起的一套组件。将UNIX和Linux与Windows平台集成在一起可以合并ActiveDirectory中的所有用户和组帐户，并且可以提供用于身份验证、帐户信息和安全策略的集中管理点。

文章的目的不在于提供VAS的全面介绍，而是重点说明以下内容：

◆介绍它的工作原理。

◆使用它可以获得的好处。

◆在UNIX、Linux和Windows平台上安装它的概述。

有关VAS的详细信息，请参见位于http://www.vintela.com/products/vas/index.php的VAS网站产品页面上的“VAS安装和配置指南”以及“VAS管理指南”。这些指南同时也包括在VAS产品光盘上。

VAS的工作原理

VAS扩展了ActiveDirectory所触及的范围，不再受限于Windows，这样就可以在ActiveDirectory中使用Microsoft管理控制台(MMC)对所有用户和计算机帐户进行管理，无论操作系统平台是什么。

所有用户都仅具有一个帐户和一个密码；利用这些帐户和密码，他们可以访问其环境内的任意平台，这只会受到您所设置的授权限制的约束。通过允许UNIX或Linux主机在ActiveDirectory中直接表示为计算机对象，VAS实现了这一点。

在安装过程中，UNIX或Linux计算机会加入域，随后具有UNIX属性的ActiveDirectory用户就可以登录到使用其ActiveDirectory用户名和密码的UNIX或Linux主机。只要ActiveDirectory域控制器支持，从已安装VAS的UNIX或Linux计算机的用户登录尝试就会以与他们在Windows计算机上的相同方式进行身份验证。

这个过程以及UNIX或Linux、Windows和VAS组件的关系如图1所示。

图1VAS过程和组件概述

VAS组件

VAS包含很多组件，您可以同时在Windows和UNIX或Linux环境中安装它们。下面的副标题将会对这些组件进行说明。

安装在Windows环境中的VAS组件

VAS的安装对Windows环境的影响小于它对UNIX或Linux环境的影响。表11.1说明了安装在Windows上的VAS组件。

表1：VASWindows组件

组件	描述
架构扩展	对 Active Directory 基本架构的扩展允许 UNIX 用户和组帐户信息的表示方法。
VAS MMC 管理单元扩展	对 Active Directory 用户和计算机的属性的扩展以包括用户和组帐户信息的 UNIX 或 Linux“属性”选项卡。

VAS与下列架构扩展兼容：

•RFC2307架构扩展

该实验型架构扩展引入了轻型目录访问协议(LDAP)属性，可以用它来存储UNIX或Linux用户和组帐户信息。

•SFU2.0和3.0架构扩展

这些架构扩展提供了用于UNIX和Linux用户和组帐户信息的基本功能。VAS可以检测并使用这些架构扩展；但是它们与VASMMC管理单元扩展不兼容。可以同时安装VAS架构扩展和SFU扩展。

•VAS架构扩展

尽管VAS架构遵循RFC2307中的建议，但它没有包含整个的RFC2307架构扩展。VAS利用Kerberos协议进行身份验证。因此，针对隐含密码文件以及已加密或经过哈希处理的密码属性的RFC2307建议都是互不相关的，而且潜在着安全风险。VAS架构扩展同时会忽略用于主机存储、服务存储、网络存储等的网络信息服务(NIS)特定于映射的属性，因为这些属性与VAS的身份验证和标识管理解决方案无关。

可以在任何域控制器或Windows工作站上安装VASMMC管理单元扩展，前提是域控制器或Windows工作站已经安装了“ActiveDirectory用户和计算机”MMC管理单元。

安装在UNIX或Linux环境中的VAS组件

很多其他VAS组件可以安装在UNIX或Linux工作站或服务器上。表11.2描述了这些组件。

表2：VASUNIX或Linux组件

组件	描述
pam_vas	根据 Active Directory 中的信息验证用户登录尝试的可插拔的身份验证模块 (PAM) 模块
nss_vas	允许与 vascd 后台程序进行通讯的名称服务开关 (NSS) 模块。该模块允许应用程序访问 Active Directory 中的用户和组信息。
vascd	VAS 客户端后台程序与 Windows Server 2003 Active Directory 服务器建立安全的连接，并获得帐户信息。
vastool	用于访问帐户信息并执行 VAS 维护任务的命令行实用工具。

VAS通过身份验证和帐户抽象（也就是PAM服务和NSS体系结构）将UNIX和Linux平台与ActiveDirectory集成在一起。如要获得PAM的完整说明，请参见第2章“UNIX和Windows环境中的身份验证和授权”；如要获得有关的NSS说明，请参见第3章“ActiveDirectory和LDAP作为UNIX和Windows环境中的标识存储区”。

您可以配置pam_vas组件以提供下列功能：

•基于Kerberos的用户身份验证

该功能允许启用PAM的应用程序直接根据Windows域来验证用户的身份，并且允许缓存适当的Kerberos票证凭据以供其他应用程序使用。

共3页: 1 [2] [3] 下一页

【内容导航】