Windows Security and Directory Services for UNIX 指南 1.0 版

發佈日期: 2006 年 6 月 27 日

本页内容

簡介
指南概觀
重要資源
致謝

簡介

《Windows Security and Directory Services for UNIX 指南》著重在 Microsoft® Windows Server™ 2003 或 Windows® 2000 Server Active Directory® 目錄服務的使用,針對包含 UNIX 與 Windows 電腦之網路的使用者提供集中式驗證與授權服務。

驗證 (使用者身分識別的驗證) 與授權 (存取資料的使用者核准) 是確保資料安全性的重要條件。隨著世界愈來愈緊密,資訊也隨時隨地無所不在,且每種 裝置與現實愈來愈接近。不過,組織只有在可以驗證任何要求存取該資料之使用者的身分識別時,才會放心地在這種互相連接的環境中儲存敏感性資料。此外,即使 使用者有身分識別,也沒有組織會允許無限制地存取其所有的資訊資產。

《Windows Security and Directory Services for UNIX 指南》提供選取最佳解決方案的指導,以符合組織的驗證與授權需求。該指南也說明當您 實作最適合您組織的解決方案時的最佳作法以及可能面臨的重大問題。

適用對象

本指南適用於負責規劃、設計安全性與目錄服務,以及實作二者之交互操作性解決方案的商務和電腦專業人員,包括:

  • 負責決定預算中必須包括哪些非常重要的網路變更。

  • 架構設計人員與規劃人員,負責組織中的網路結構,包括針對 Windows 與 UNIX 作業系統設計工作站與伺服器之間的互動。

  • IT 安全性專家,著重在為組織中的不同平台提供安全性。

  • Microsoft 全球服務與合作夥伴的顧問,可協助開發為企業客戶與合作夥伴整合 Windows 與 UNIX 的解決方案。

  • IT 專業人員,例如資訊長 (CIO)、IT 總監、資料中心經理以及資深網路工程師,負責評估組織的驗證與授權選項以及開發和部署新的或更新的解決方案。

必備知識

本指南假設您已瞭解 Windows 與 UNIX 或 Linux 作業系統,並對資訊安全性術語和技術已有完整的知識。如稍後在「指南概觀」中所提,您也應該要熟悉《UNIX 移轉專案指南》 (UMPG),可在 http://go.microsoft.com/fwlink/?LinkId=20012(英文) 取得這個指南。

明確地說,本指南假設您的技術小組整體具備下列專業能力:

  • 熟悉 UNIX 管理。

  • 熟悉 Windows 管理,包括 Active Directory。

  • Windows 與 UNIX 環境的 DNS 知識。

  • 如果您選擇的解決方案需要 Services for UNIX,就需要精通 Windows Services for UNIX。適用於 UNIX 用戶端使用 Active Directory 授權的一些解決方案需要 Windows Services for UNIX。如僅使用 Active Directory 驗證的解決方案則無此需求。

  • 熟悉 LDAP 通訊協定。

  • 熟悉 Kerberos 通訊協定。

如果您選擇實作本指南所提供的兩個商業解決方案之一,所需的專業能力等級會比選擇實作幾個包含自己動手做的解決方案之一所需的等級低。

範圍

為了開發和部署集中式 Windows Active Directory 驗證與授權解決方案,以包括 UNIX 與 Windows 電腦,您必須先調查可能的選項。本指南提供一些可能的選項, 每個選項都以不同的方式處理驗證和授權,並提供特定的解決方案來達成每個最終狀態。

最終狀態

在本指南中,「最終狀態」是針對 Windows 與 UNIX 定義一組特定的驗證和授權 (或僅驗證) 交互操作性選項的模型。

本指南說明您要如何達到五個差異很大的最終狀態實作:

  • 最終狀態 1。UNIX 用戶端使用 Active Directory Kerberos 來進行驗證,但是繼續使用現有的 UNIX 資料存放區來進行授權。

  • 最終狀態 2。UNIX 用戶端使用 Active Directory Kerberos 來進行驗證並使用 Active Directory LDAP 來進行授權。

  • 最終狀態 3。UNIX 用戶端使用 Active Directory LDAP 來進行驗證,但是繼續使用現有的 UNIX 資料存放區來進行授權。

  • 最終狀態 4。UNIX 用戶端使用 Active Directory LDAP 來進行驗證與授權。

  • 最終狀態 5。UNIX 與 Windows 基礎結構仍然是分開的:UNIX 用戶端使用 UNIX Kerberos 來進行驗證, Windows 用戶端使用 Active Directory Kerberos 來進行驗證,而且跨領域信任可讓 UNIX 與 Windows 使用者 (如果跨領域信任為雙向信任) 存取 另一端的服務。

  • 最終狀態 2。UNIX 用戶端使用 Active Directory Kerberos 來進行驗證並使用 Active Directory LDAP 來進行授權。

  • 最終狀態 3。UNIX 用戶端使用 Active Directory LDAP 來進行驗證,但是繼續使用現有的 UNIX 資料存放區來進行授權。

  • 最終狀態 4。UNIX 用戶端使用 Active Directory LDAP 來進行驗證與授權。

  • 最終狀態 5。UNIX 與 Windows 基礎結構仍然是分開的:UNIX 用戶端使用 UNIX Kerberos 來進行驗證, Windows 用戶端使用 Active Directory Kerberos 來進行驗證,而且跨領域信任可讓 UNIX 與 Windows 使用者 (如果跨領域信任為雙向信任) 存取 另一端的服務。

  • 最終狀態 3。UNIX 用戶端使用 Active Directory LDAP 來進行驗證,但是繼續使用現有的 UNIX 資料存放區來進行授權。

  • 最終狀態 4。UNIX 用戶端使用 Active Directory LDAP 來進行驗證與授權。

  • 最終狀態 5。UNIX 與 Windows 基礎結構仍然是分開的:UNIX 用戶端使用 UNIX Kerberos 來進行驗證, Windows 用戶端使用 Active Directory Kerberos 來進行驗證,而且跨領域信任可讓 UNIX 與 Windows 使用者 (如果跨領域信任為雙向信任) 存取 另一端的服務。

  • 最終狀態 4。UNIX 用戶端使用 Active Directory LDAP 來進行驗證與授權。

  • 最終狀態 5。UNIX 與 Windows 基礎結構仍然是分開的:UNIX 用戶端使用 UNIX Kerberos 來進行驗證, Windows 用戶端使用 Active Directory Kerberos 來進行驗證,而且跨領域信任可讓 UNIX 與 Windows 使用者 (如果跨領域信任為雙向信任) 存取 另一端的服務。

  • 最終狀態 5。UNIX 與 Windows 基礎結構仍然是分開的:UNIX 用戶端使用 UNIX Kerberos 來進行驗證, Windows 用戶端使用 Active Directory Kerberos 來進行驗證,而且跨領域信任可讓 UNIX 與 Windows 使用者 (如果跨領域信任為雙向信任) 存取 另一端的服務。

  • 若要達成最終狀態 1-4,您必須只移轉 UNIX 使用者的驗證資料到 Active Directory,或是同時移轉 UNIX 使用者的驗證和授權資料到 Windows Active Directory。若要達成最終狀態 5,則無需移轉 UNIX 使用者資訊。

實作每個最終狀態的技術解決方案

在本指南中,每個最終狀態的實作都稱為「解決方案」或「技術解決方案」。技術解決方案與最終狀態的不同之處在於,您可以使用各種方式來達成任何一種最終狀態。

本指南提供的「最終狀態 1-4」集中式驗證與授權功能,是以執行 Windows Server 2003 或 Windows 2000 Server 的網域控制站所提供的 Active Directory Kerberos 與 LDAP 服務為基礎。

注意:本指南提供的所有解決方案之程序皆是在執行 Windows Server 2003 的伺服器上進行開發和測試。

您可以使用下列任何方式來設定各種最終狀態的解決方案:

  • 自訂、自己動手做或是技術解決方案:

    • 原生 OS 解決方案。UNIX 或 Linux 原生作業系統元件 (最終狀態 1-4)。在本指南中,這些稱為「原生 OS」解決方案。

      警告我們不建議在生產環境中部署原生 OS Red Hat 9 解決方案,因為這個解決方案本來就存有安全性風險。如需詳細資訊,請參閱卷冊 2:第 4 章 <開發自訂解決方案>中的<為最終狀態 1 與 2 使用 Red Hat 9 與原生 OS 元件>(這個限制不適用於原生 OS Solaris 解決方案或是開放原始碼 Red Hat 解決方案)。

    • 開放原始碼解決方案。UNIX 或 Linux 原生作業系統元件與開放原始碼軟體搭配使用 (最終狀態 1-4)。在本指南中,這些稱為「開放原始碼」解決方案。

      相關的開放原始碼軟體包括有 MIT Kerberos (可在 http://web.mit.edu/kerberos/www/ (英文) 取得)、 認證的安全性解決方案所提供的 PAM 模組 (可在 http://www.css-security.com (英文) 取得) 或是 PADL 所提供的 LDAP 模組(可在 http://www.padl.com (英文) 取得) 等。

    • 跨領域信任 (僅適用最終狀態 5)。

  • 商業技術解決方案:

    • Quest Software Vintela Authentication Services (VAS) 產品 (僅適用最終狀態 2),可在 http://www.vintela.com (英文) 取得。

    • Centrify DirectControl 產品 (僅適用最終狀態 2),可在 http://www.centrify.com (英文) 取得。

本指南提供規範性指引,以決定哪些方法 (用以實作五個最終狀態的其中一或多個) 最能符合您的商業目標與需求。

指南概觀

本指南提供完成 Windows Security and Directory Services for UNIX 專案的完整指引;它適用於負責該專案不同層面的各種對象。

本指南的組織是根據兩個觀點:

  • 依專案結構組織。本指南的內容大致上是根據 Microsoft Solutions Framework (MSF) 與 Microsoft Operations Framework (MOF) 中所述之大眾所公認的解決方案生命週期 階段來組織,各階段依序為計劃、建立、部署和操作。在下列小節中將討論有關 MSF 與 MOF 的背景資訊以及它們如何相互關聯的資訊。

  • 依卷冊組織。因為本指南涵蓋一些不同的驗證與授權解決方案 (稱為最終狀態),所以本指南中並非所有的內容都會與您選擇實作的最終狀態解決方案相關。請參閱<依卷冊組織指南>一節以 取得判斷您應該閱讀哪些卷冊的相關資訊。

依專案結構組織指南

圖 0.1 說明 IT 解決方案階段之間的相互關聯以及組織本指南的 MSF 與 MOF 階段。請參閱下列關於 MSF 與 MOF 背景資訊的小節。

Cc952738.WSD.vol1.00.01(zh-tw,TechNet.10).gif

圖 0.1:使用 MSF 與 MOF 將專案生命週期階段相互關聯

MSF 與實際案例

本指南是根據業界已證明的 Microsoft Solutions Framework (MSF) 方法來管理 IT 專案。MSF 3.0 是 IT 專案的線性里程碑架構,用以定義五個不同的 專案階段:構想、規劃、開發 (在此案例為開發交互操作性解決方案)、穩定和部署。構成《Windows Security and Directory Services for UNIX 指南》的卷冊 是依這些階段組織而成,並提供完成專案所需的技術與解決方案特定資訊。

此外,本指南運用真實世界的案例,將抽象的原則與概念轉換成實際規範的建議。不同的章節可帶領您完成開發、測試和穩定、部署、操作以及發展本指南中提供的 每個技術解決方案所牽涉的階段。

UMPG 與 MOF 指南

Windows Security and Directory Services for UNIX 指南》主要是和《UNIX 移轉專案指南》(UMPG) 搭配使用。這兩個指南都是根據五個 MSF 專案階 段組織而成,但是 UMPG 著重提供「人員與程序」的指引。UMPG 描述與每個 MSF 階段關聯的程序和交付項目,以及 MSF 小組模型角色負責的每個階段,並包括 Microsoft Operations Framework (MOF) 的簡短描述,即本指南中〈作業〉一章之內容。

UMPG 提供的程序指引與本指南中可用的技術和專案特定指南有所區隔,這是為了儘量使本指南保持簡潔。專案管理與小組領導人應該閱讀 UMPG,才能將其建議套 用到整個專案。不過,許多小組成員只需要將焦點放在《Windows Security and Directory Services for UNIX 指南》中所述的那些負責的專案工作上。。

注意:雖然本指南主要是和 UMPG 指南搭配使用,不過您的組織可能會使用替代的專案方法理論。在此情況下,您可以使用 UMPG 來將 MSF 階段與小組結構對應至 您的組織方法理論的元素。若要這樣做,您可以閱讀 UMPG 中的 MSF 概觀,以熟悉 MSF 處理序模型、MSF 小組模型以及 MSF 術語。

如需有關 MSF 與 MOF 的詳細資訊,請參閱:

您可以在 http://go.microsoft.com/fwlink/?LinkId=20012 (英文) 下載 UMPG。

依卷冊組織指南

本指南分成四個卷冊。您需要閱讀卷冊 1:<概觀與構想>來評估哪一個最終狀態適用於您組織。然後只需要視您選擇要實作的最終狀態,來閱讀卷冊 2、3 或 4 其中之一即可。注意:不同的對象有可能會對特定卷冊中的不同內容小節特別感興趣。例如,決策者將需要閱讀<構想>章節,而開發人員會對<開發>章節比較感興趣。此外 ,每個最終狀態都可參閱附錄。

下圖描述依卷冊組織指南。白色陰影部分指出目前卷冊位於整份指南中的位置。

Cc952738.WSD.vol1.00.02(zh-tw,TechNet.10).gif

圖 0.2:Windows Security and Directory Services for UNIX 指南的卷冊與章節結構
  • 卷冊 1:概觀與構想。對本指南中任何解決方案可能有興趣的所有讀者皆可閱讀此卷冊。其內容包括驗證與授權的概觀、五個最終狀態的描述以及有關專案構想階段 的資訊。<構想>章節包括工作輔助工具以協助評估要選擇哪些最終狀態。

  • 卷冊 2:使用 Kerberos 驗證的解決方案 (最終狀態 1 與 2)。這個卷冊提供有關規劃、開發、穩定、部署、操作和發展「最終狀態 1」與 「最終狀態 2」的階段資訊。卷冊 2 提供兩個商業上可用的解決方案與一些自訂或是自己動手做的解決方案。卷冊 2:第 1 章<選擇適合的技術並規劃您的解決方案>包括工作輔助 工具,可協助您選擇要部署的特定技術解決方案。

  • 卷冊 3:使用 LDAP 驗證的解決方案 (最終狀態 3 與 4)。這個卷冊提供有關最終狀態 3 與 4 的一些自己 動手做的解決方案之規劃、開發、穩定、部署、操作和發展的階段資訊。卷冊 3:第 1 章<選擇適合的技術並規劃您的解決方案>包括工作輔助工具以協助您選擇要部 署的特定技術解決方案 (注意:卷冊 3 將包括在下一版的指南中)。

  • 卷冊 4:使用 Kerberos 交互操作性的解決方案 (最終狀態 5)。這個卷冊提供有關最終狀態 5 的一些自己 動手做的解決方案之規劃、開發、穩定、部署、操作和發展的階段資訊。卷冊 4:第 1 章<選擇適合的技術並規劃您的解決方案>包括工作輔助工具,可協助您選擇要 部署的特定技術解決方案。(注意:卷冊 4 將包括在下一版的指南中)。

    下載此解決方案指南將會包括所有卷冊、附錄與工作輔助工具。

這個卷冊中的章節

本節說明《Windows Security and Directory Services for UNIX 指南》卷冊 1 中的章節:<概觀與構想>(注意:卷冊 2、3 和 4 的「關於這個 卷冊」有提供該卷冊中每章的摘要)。

  • 關於這個指南。提供指南的目的、內容、組織和慣例的概觀。

  • 第 1 章:驗證與授權技術以及解決方案最終狀態的概觀。介紹 Active Directory (您可以用來為 UNIX 和 Windows 的使用者提供驗證與授權)、驗證與授權的概念以及像是 Kerberos 第 5 版通訊協定與 LDAP 等 主要技術。本章也介紹本指南提供的最終狀態與技術解決方案。

  • 第 2 章:構想您的 Windows Security and Directory Services 解決方案。提供的 資訊可協助您決定商業目標與需求、產生願景/構思文件、決定哪個最終狀態最適合您的組織,並評估專案的風險層級。工作輔助工具範本是用 於您執行這些工作所使用的文件。

重要資源

本節說明《Windows Security and Directory Services for UNIX 指南》中所包括的各種資源以及可協助使用此指南的資訊。

附錄

本指南包括整個指南所引用的一組附錄。有些附錄是專門供特定的解決方案所使用,其他則較為廣泛,例如「縮寫清單」與「參考書目/參照」附錄。

下列附錄會隨附在這個解決方案指南中:

  • 附錄 A:UNIX 與 Windows 驗證與授權的架構概觀

  • 附錄 B:相關的 RFC

  • 附錄 C:Kerberos 與 LDAP 錯誤訊息

  • 附錄 D:Kerberos 與 LDAP 疑難排解秘訣

  • 附錄 E:相關的 Windows 與 UNIX 工具

  • 附錄 F:將數位身分識別資訊移轉到 Active Directory

  • 附錄 G:設定異質 UNIX 與 Windows 環境的 DNS

  • 附錄 H:設定異質 UNIX 與 Windows 環境的時間服務

  • 附錄 I:自訂解決方案的範例組態檔案

  • 附錄 J:自訂技術解決方案功能矩陣

  • 附錄 K:縮寫清單

  • 附錄 L:在實驗室中安裝和設定 Active Directory 與 DNS

  • 附錄 M:參考書目/參照

工作輔助工具

這個解決方案指南中隨附下列工作輔助工具:

  • 預算計劃範本。針對組織建立和部署解決方案提供預估成本的高層面觀察。

  • 目前狀態的基礎結構報表範本。說明將放置解決方案的環境。提供關於任何可能影響或是必須 對解決方案設計負責的舊版系統資訊。

  • 部署計劃範本。定義將解決方案順利地部署和轉換到生產環境所需的動作。

  • 開發計劃範本。說明專案所使用的解決方案開發程序。

  • 最終狀態選取工具。根據最終狀態的功能是否符合可用設計目標來表達的共同商業與技術需求, 來比較所有的最終狀態。

  • 作業計劃範本。定義要讓解決方案在生產環境中正常作業的必要動作。

  • 試驗計劃範本。說明試驗部署將包括哪些內容,並提供如何成功執行試驗的相關資訊。說明如何評估 試驗,包括決定您是否準備將解決方案移到生產或是否需要執行其他試驗。

  • 專案結構範本。定義小組在組織和管理專案時將採用的方式,包括目標、工作範圍、小組需求、小組 程序以及風險。

  • 專案小組技術範本。列出專案小組所需的技術集合。也包括訓練資源。

  • 風險評估工具。協助識別、排定和管理專案風險,且包含與每個最終狀態關聯的常見風險之延伸清單。

  • 安全性計劃範本。協助識別、排定和管理專案風險,且包含與每個最終狀態關聯的常見風險之延伸清單。

  • Solaris_native_LDAP_config 檔案。包含指令碼以便為原生 OS Solaris End State 2 解決方案將 Solaris 主機設定為 LDAP 用戶端的檔案。

  • 測試計劃範本。定義確保解決方案已測試過並核准發行所需的動作。

  • 願景/構思範本。提供解決方案高層面的檢視,並且包括商業機會、解決方案概念、範圍和解決方案設計策略。

軟體需求

視您選擇部署的解決方案而定,實作本指南所述的解決方案需要以下軟體:

  • Windows Server 2003。

  • 視您的解決方案而定,您需要包括下列一或多個項目的 UNIX 或 Linux 環境:

    • 有些最終狀態需要必須預先存在的開發環境,或是使用指南中的指示來建立以下載和安裝開發環境。

    • 有些自訂解決方案需要 1.3.5 (或更新) 版的 MIT Kerberos 套件 (krb5-1.3.5.tar),可從 Kerberos V5 Release 1.3 Source Distributions 取得 ,網址為 http://web.mit.edu/kerberos/dist/historic.html#krb5-1.3-src (英文)。在卷冊 2:第 4 章<開發自訂解決方案>中的自訂解決方案是使用 MIT Kerberos 1.3.5 來開發和測試。

    注意:在卷冊 2:第 4 章<開發自訂解決方案>中所述的自訂解決方案組態與 1.4.x 版的 MIT Kerberos 並未直接相容,必須經過一些修改才能與該版本的軟體搭配使用。

如需解決方案需要哪個軟體的特定資訊,請參閱本指南的卷冊 2、3 和 4 中有關您可能考慮部署的解決方案之章節。

文件慣例

本指南使用顯示在下表的文件慣例。

表 0.1 文件慣例

文件元素

意義

粗體文字

粗體文字是用於命令;傳送到命令的常值引數 (包括構成命令一部分的路徑)、參數以及程式元件,例如方法、函數、UNIX 與 Linux 系統呼叫、LDAP 物件類別、 LDAP 屬性名稱、資料類型、資料結構以及精靈 (程式) 名稱。使用者介面元素也是以粗體字型來識別。

斜體文字

斜體文字是用於使用者可取代的變數。它也用於強調重要的資訊,例如第一次使用的主要詞彙。

等寬字型

用於引用組態檔案、程式碼範例與終端機工作階段。

等寬粗體字型

用於顯示命令或是使用者鍵入與所顯示完全一樣的其他文字。

等寬斜體字型

用於顯示讀者在命令列範例與終端機工作階段中提供的變數。

注意

用以指出強調或補充主要文字重點之中立或確定的資訊。

重要

用以提供完成工作必要的資訊。

警告

用以建議使用者若未採取或避免特定動作可能會造成軟體、硬體或資料的損壞。

致謝

Microsoft Interoperability and Migration Solutions (MIMS) 群組想要致謝製作《Windows Security and Directory Services for UNIX 指南》的小組。 下列人員為直接負責或對撰寫、開發和測試本指南所述的解決方案有很大的貢獻。

程式經理

Luis Camara Manoel (Microsoft Corporation)

Mark Short (Microsoft Corporation)

技術架構設計人員

Jason D. Zions (Microsoft Corporation)

技術檢閱者

Sarah Duncan (Certified Security Solutions)

Peter Larsen (Microsoft Corporation)

Doug McDorman (Certified Security Solutions)

Doug Miller (Centrify)

Jason D. Zions (Microsoft Corporation)

測試主管

Sandor Kiss (Microsoft Corporation)

測試者

Chris Edgin (Excell Data Corporation)

產品經理

Dhilip Gopalakrishnan (Microsoft Corporation)

UE 主管

Gaile Simmons (Microsoft Corporation)

主要作者

Gaile Simmons (Microsoft Corporation)

作者/主題專家

Arlene Berry (Certified Security Solutions)

Sarah Duncan (Certified Security Solutions)

David Eyes (Vintela)

Doug McDorman (Certified Security Solutions)

Doug Miller (Centrify)

作者

Thomas Olsen (Volt Technical Services)

Gaile Simmons (Microsoft Corporation)

Tatsuo Yamada (Volt Technical Services)

編輯

Patricia Rytkonen (Volt Technical Services)

其他貢獻者

Bill Miller (Interopsystems)

下載

取得 Windows Security and Directory Services for UNIX 指南 (英文)


Solution Accelerator 通知

註冊以獲得通知 (英文)


意見反應

傳送您的意見或建議給我們


顯示: