本节主要讨论以下主题:
本节提供以下主要 OES 部件的特定概述信息:
有关更多鉴定主题,请参见 OES 联机文档中的访问、鉴定和登录
。
在 OES 2 中,NetIdentity 代理可以与 Novell eDirectory 鉴定一起使用,以通过工作站中的安全身份“钱包”对需要 eDirectory 鉴定且基于万维网的 Windows 应用程序提供后台鉴定。应用程序可在不提示用户输入用户名和口令的情况下访问 eDirectory 身份凭证。
NetIdentity 代理支持在 OES 2 服务器平台上运行如下所示的应用程序:
OES 2 Linux: NetStorage
OES 2 NetWare: NetStorage 和 iPrint(如果需要鉴定)
只有 Windows 因特网资源管理器支持 NetIdentity 代理浏览器鉴定。
Novell Client 提供了对 NetIdentity 的鉴定身份凭证,但因为它不是基于万维网的应用程序,所以无法从 NetIdentity 获得鉴定身份凭证。
NetIdentity 代理要求:
OES 2 服务器上的 XTier (NetStorage) 显示在基于万维网的应用程序的 URL 中。
NetIdentity 代理安装在工作站上。
有关使用 NetIdentity 代理的更多信息,请参见《NetIdentity for NetWare 6.5 管理指南》(NetIdentity Administration Guide for NetWare 6.5)。
Novell 模块化鉴定服务 (NMAS™) 通过向 NetWare、Windows 和 UNIX 网络上的 Novell eDirectory 提供各种鉴定方法来保护网络上的信息。
这些登录方法基于三个登录因素:
口令
物理设备或令牌
生物鉴定
例如:
您可以允许用户使用口令、指纹扫描、令牌、智能卡、证书或感应卡等进行登录。
您可以允许用户使用这些方法的组合来登录,从而提供更高级别的安全性。
一些登录方法需要其它硬件和软件。您必须拥有使用这些方法所必需的硬件和软件。
NMAS 软件包含:
NMAS 服务器部件: 作为 OES 2 的一部分安装。
NMAS 客户程序: 在每个将使用 NMAS 进行鉴定的 Windows 工作站上都需要。
Novell Client 的分发包含许多 NMAS 登录方法。
也可使用其它第三方方法下载。有关可用的第三方登录方法的信息,请参见 NMAS 合作伙伴的万维网站点。每个方法都有一个 readme.txt 文件或一个 readme.pdf 文件,其中包含特定的安装和配置说明。
有关如何使用 NMAS 的更多信息,请参见《Novell 模块化鉴定服务 (NMAS) 3.2 管理指南》(Novell Modular Authentication Services (NMAS) 3.2 Administration Guide)。
过去,管理员因为口令差别需要管理多个口令(简单口令、NDS 口令和 Samba 口令)。管理员还需要保持口令同步。
在 OES 2 中,您可以选择保留当前口令维护方法或部署通用口令来简化口令管理。有关更多信息,请参见《Novell 口令管理管理指南》。
开发的所有 Novell 产品和服务都使用扩展字符(UTF-8 编码)口令。有关使用扩展字符的产品和服务的当前列表,请参见 Novell TID 10083884。
eDirectory 支持的口令类型在表 16-6中作了总结。
表 16-6 eDirectory 口令类型
|
口令类型 |
说明 |
|---|---|
|
NDS |
NDS 口令以哈希形式储存,这种形式在 eDirectory 中不可逆。只有 NDS 系统可以使用此口令,并且它无法转换为任何其它形式以供任何其它系统使用。 |
|
Samba |
在 OES 2 中,Samba 用户会获得默认指派的通用口令。 OES 2 还支持 Samba 哈希口令(如果需要)。但是,如果要使用 Samba 哈希口令,则必须选择不部署通用口令。选择 Samba 口令需要用户始终记住在更改了他们的 eDirectory 口令时,对 Samba 口令进行同步。 有关更多信息,请参见《OES 2:Samba 管理指南》中的 |
|
简单 |
简单口令提供一个可逆值,它储存在 eDirectory 中用户对象的特性中。NMAS 可安全地储存口令的明文值,以便 NMAS 可以针对任何类型的鉴定算法来使用它。为了确保此值是安全的,NMAS 使用 DES 密钥或 Triple DES 密钥(取决于安全域密钥的强度)来加密 NMAS 机密和配置储存中的数据。 最初实施简单口令是为了允许管理员导入用户,以及哈希处理其它 LDAP 目录(如 Active Directory 和 iPlanet*)中的口令。 简单口令的限制是不应用任何口令策略(最小长度和失效等)。默认情况下,用户没有权限更改他们自己的简单口令。 |
|
通用 |
通用口令 (UP) 通过创建可由所有协议和鉴定方法使用的口令可在多个鉴定系统之间实施统一的口令策略。 通用口令由安全口令管理器 (Secure Password Manager, SPM) 在 iManager 中管理,该管理器是 OES 2 服务器中安装的 NMAS 模块的一个部件。支持所有的口令限制和策略(失效和最小长度等)。 所有使用 UP 库在客户端上运行的现有管理工具都可自动使用通用口令。 只有在 OES 2 Linux 服务器上安装了 Novell Samba 才会自动启用通用口令。您可以选择单独储存 Samba 哈希口令。但是,这需要用户在更改其 eDirectory 口令后总是同步 Samba 口令。 Novell Client 支持通用口令。它也支持网络中旧系统的 NDS 口令。在部署了 UP 后,Novell Client 将自动升级为使用通用口令。 有关更多信息,请参见《Novell 口令管理管理指南》中的 |
有关规划主题,请参见 OES 联机文档中的访问、鉴定和登录
。
有关鉴定、安全共存和迁移的信息,请参见本指南中的部分 21.0, 安全性和部分 22.0, 证书管理
。
有关配置和管理主题的列表,请参见 OES 联机文档中的访问、鉴定和登录
。