194
Операционные системы семейства Windows встраиваются в среду Ac-
tive Directory при помощи стандартного инструментария, при этом на рабочей
станции запускаются необходимые сервисы, которые переадресуют запросы к
локальной базе SAM на контроллеры домена (так же активизируется SSPI-
модуль, отвечающий за аутентификацию по протоколу Kerberos). Для того
чтобы увидеть этот процесс более подробно, рассмотрим интеграцию рабочей
станции под управлением ОС Linux в среду Active Directory.
7.4.1. Технология PAM
В первую очередь необходимо сменить режим аутентификации рабочей
станции с традиционного (через файл «/etc/shadow»), на аутентификацию по
протоколу Kerberos.
Для решения подобных задач уже довольно долгое время в Linux (и не-
которых других Unix-системах) система аутентификации отделена от утилит,
которым необходимо производить аутентификацию. Каждая такая утилита
(например, login) запрашивает специальную библиотеку libpam для проведе-
ния аутентификации пользователя. Все, что должен обеспечить сервис, — это
обратную связь между пользователем и библиотекой (для запроса пароля при
необходимости, вывода служебных сообщений, например с просьбой прило-
жить специальное устройство к считывателю и т. п.). Сама библиотека libpam
тоже не содержит конкретного функционала по аутентификации, весь функ-
ционал содержится в модулях PAM
1
. О том, какие модули необходимо загру-
жать, библиотека узнает из файлов конфигурации, расположенных в каталоге
«/etc/pam.d» (по файлу конфигурации на каждый сервис).
Файл конфигурации может содержать 4 типа записей:
− auth — отвечают за процесс аутентификации;
− account — отвечают за то, что учетная запись актуальна (не заблокиро-
вана, не истек срок действия пароля и т. п.);
− password — отвечают за манипуляции с аутентификационными данны-
ми (например, смена пароля);
− session — выполняют некоторые действия, связанные с сеансом пользо-
вателя (установка переменных окружения, удаление кэша при выходе пользо-
вателя и т. п.).
Модуль аутентификации по протоколу Kerberos должен присутствовать
в разделах auth и session (для создания кэша билетов и его удаления). Для того
чтобы не было необходимости переписывать конфигурационные файлы для
каждого из сервисов, в любом дистрибутиве Linux предусмотрены общие на-
стройки PAM для всех сервисов. В дистрибутиве Debian — это файлы comon-
auth, common-password, common-account и common-session, в каждом описаны
умолчания для соответствующих разделов. Именно сюда и необходимо доба-
вить модуль «pam_krb5.so».
1
PAM (Pluggable Authentication Modules) – подключаемые модули аутентификации.