后再用你的口令对其进行编码;并将解码后的密钥送给确保安全的本地密钥服
务器,以备以后进行RPC处理时使用.(注意:一般的应用是不需要知道公共关键
字和密钥的).除改变登录口令外,yppasswd程序还将随机地产生新的公共关键
字和密钥关键字对.
密钥服务器是一个驻留于本机的RPC服务器,它执行以下三种公共关键字
操作:
. setsecreykey(secretkey):告诉密钥服务器将密钥SK存贮起来,以备将
来使用(通常是被login程序采用).
. encrytsessionkey(severname,des_key):使在第一次RPC处理中将会话
关键字传送给服务器,密钥服务器查找severname中的公共关键字,
并将它和setsecretkey设置的client的密钥组合,以生成用于
对des_key编码的密钥.
. decrytsessionkey(clientname,des_key):服务器又请求密钥服务器通
过调用本操作来对会话密钥解码.
注意:隐含在这些调用中的使用者名必须鉴别,密钥服务器中可能使用DES
鉴别系统的(因为会产生死馈).密钥服务器通过按uid存贮的密钥来解决这个
问题,它只允许对本机的root所属进程的请求.然后client进程又执行setuid
进程,该进程属于root,执行对client的请求,并将真正的client的uid告诉密
钥服务器.
以上三种操作都是系统调用,内核将与密钥服务器直接通信,而不是通过
执行setuid程序来通信.
(7)网络实体的命名
对网络实体的命名原有的UNIX鉴别系统存在一些问题,对UNIX鉴别系统最
基本的网络实体uid,已经陈述了这个系统的一个问题(太UNIX系统化了),而且
这个系统还有两个问题:一个是当许多域联系起来时的uid冲突;另一个是超级
用户不是以每个域为基础赋值,而是以每台机器为基础赋值.在缺省情况下,NFS
以一种严密的方式解决这一问题:它不允许根通过网络以uid0存取.
DES鉴别系统通过建立在新名字(网络名)基础上的命名机制纠正这些问题.
简单地说,网络名是一串可打印字符,从根本上说,我们所要鉴别的正是这些网
络名.公共关键字和密钥按网络名存贮而不是按用户名存贮.yellow page map
netid.byname 将网络名映射为本机器中的用户名uid和同组存取序列,而非
SUN环境会将网络名映射为其它序列.
我们采用全局唯一的网络名来解决网络命名问题,这比选择全局唯一的用
户号要容易的多.在SUN环境中,对每个YP域,用户名是唯一的.如将操作系统名
在YP域中的用户号和ARPA域名组合在一起就构成了网络名.在为一个域命名时
将ARPA域名加在本地域名之后是一个好习惯.
象对用户赋以网络名一样,对机器也赋以网络名,这样就可解决多个超级
用户的问题.机器的网络名其形式与用户的网络名的形式相似,正确的机器鉴
别系统对网络中的无盘工作站是非常重要的,它必须保证无盘工作站能通过网
络存取本机的home目录.
非SUN环境中,网络名的产生也许与前述有较大区别,但这并不妨碍它们通
过SUN的网络安全系统合法地存取信息,为鉴别一个来自另一个域的用户,只需
在两个YP数据库是建立实体.一个实体是有关密钥和公开密钥的,另一个是有
关uid和同组存取序列的.完成这项工作后,在远程域中的用户就可利用本域的
网络服务.
(8)DES鉴别系统的应用
第一个应用是广义的YP更新服务,这个服务允许用户更新YP数据库中的专
用域.
另一个应用也是最重要的应用是:更安全的网络文件系统NFS.使用UNIX鉴
别系统的NFS存在三个问题:
. 证书的检验仅仅在装配时进行,这时client从服务器获得一条信息,这
条信息是以后请求的关键:文件handle.如果有人不通过服务器就能通
过猜想或偷听网络传输内容而获得文件handle,那么他也就能破坏UNIX
推荐阅读
- 三星手机文件夹怎么删除?三星手机怎么删除文件夹?
- 划龙舟的寓意和象征
- 什么叫线切割脉冲
- 微信怎么不绑定手机号
- 三星手机按键音怎么取消?三星怎么取消按键震动?
- 唐代文学家韩愈和谁发起了古文运动 唐代文学家韩愈是和谁发起了古文运动
- 三星手机短信背景怎么设置?三星怎么设置短信背景?
- 微信如何查看辅助记录
- 房屋证书号码是哪个房屋证书号码在哪里看
- 荣耀x1路由器需要升级吗