2.7. UNIX 系统验证

UNIX 系统验证允许在 SGD 主机上拥有 UNIX 或 Linux 系统帐户的用户登录到 SGD。

默认情况下,UNIX 系统验证处于启用状态。

本节包括以下主题:

2.7.1. UNIX 系统验证的工作方式

UNIX 系统验证支持使用以下搜索方法对照 UNIX 或 Linux 系统用户数据库验证用户及确定用户身份和配置文件:

  • 在本地系统信息库中搜索 Unix 用户 ID

  • 在本地系统信息库中搜索 Unix 组 ID

  • 使用默认用户配置文件

以下各节将介绍这些搜索方法。

2.7.1.1. 在本地系统信息库中搜索 Unix 用户 ID

在 SGD 登录屏幕中,用户键入用户名和密码。用户名可以是以下任意项:

  • 通用名,如 Indigo Jones

  • 用户名,如 indigo

  • 电子邮件地址,如 indigo@example.com

SGD 在本地系统信息库中搜索 "Name"(名称)属性与用户输入内容相匹配的用户配置文件。如果未找到匹配项,将对 "Login Name"(登录名称)属性执行搜索,最后对 "Email Address"(电子邮件地址)属性执行搜索。如果未找到用户配置文件,将尝试使用下一个验证机制。

如果找到用户配置文件,则该对象的 "Login Name"(登录名称)属性将被视为 UNIX 或 Linux 系统用户名。系统将对照 UNIX 或 Linux 系统用户数据库检查此用户名以及该用户所输入的密码。如果验证失败,则尝试使用下一个验证机制。

如果验证成功但用户配置文件的 "Login"(登录)属性未启用,则该用户无法登录,且不会尝试任何其他验证机制。如果验证成功且用户配置文件的 "Login"(登录)属性已启用,用户将登录。

默认情况下,此搜索方法处于启用状态。

2.7.1.1.1. 用户身份和用户配置文件

本地系统信息库中的匹配用户配置文件将用于用户身份和用户配置文件。在 SGD 数据存储中,该用户身份位于 Local 名称空间中。在管理控制台中,文本 "(Local)" 显示在该用户身份的旁边。在命令行上,该用户身份位于 .../_ens 中。

2.7.1.2. 在本地系统信息库中搜索 Unix 组 ID

SGD 将对照 UNIX 或 Linux 系统用户数据库检查用户在登录屏幕上输入的用户名和密码。

如果验证失败,则尝试使用下一个验证机制。

如果验证成功,SGD 将搜索用户配置文件。有关详细信息,请参见第 2.7.1.2.1 节 “用户身份和用户配置文件”。如果用户配置文件对象的 "Login"(登录)属性未启用,用户将无法登录,系统不会尝试任何其他验证机制。如果用户配置文件的 "Login"(登录)属性已启用,用户将登录。

默认情况下,此搜索方法处于启用状态。

2.7.1.2.1. 用户身份和用户配置文件

用户身份为 UNIX 或 Linux 系统用户名。在 SGD 数据存储中,该用户身份位于 User 名称空间中。在管理控制台中,文本 "(UNIX)" 显示在该用户身份的旁边。在命令行上,该用户身份位于 .../_user 中。

SGD 在本地系统信息库中搜索用户配置文件 cn=gid,其中 gid 是验证用户的 UNIX 系统组 ID。如找到,则将其用作用户配置文件。如果用户属于多个组,将使用该用户的主组或有效组。如果在本地系统信息库中未找到用户配置文件,则将配置文件对象 System Objects/UNIX User Profile 用于用户配置文件。

2.7.1.3. 使用默认用户配置文件

SGD 将对照 UNIX 或 Linux 系统用户数据库检查用户在登录屏幕上输入的用户名和密码。

如果验证失败,则尝试使用下一个验证机制。

如果验证成功,用户即登录。

默认情况下,此搜索方法处于禁用状态。

2.7.1.3.1. 用户身份和用户配置文件

用户身份为 UNIX 或 Linux 系统用户名。在 SGD 数据存储中,该用户身份位于 User 名称空间中。在管理控制台中,文本 "(UNIX)" 显示在该用户身份的旁边。在命令行上,该用户身份位于 .../_user 中。

配置文件对象 System Objects/UNIX User Profile 用于用户配置文件。所有 UNIX 系统用户都将收到相同的 Webtop 内容。

2.7.2. UNIX 系统验证和 PAM

SGD 支持可插拔验证模块 (Pluggable Authentication Modules, PAM)。UNIX 系统验证可使用 PAM 进行用户验证、帐户操作和密码操作。

在 Linux 平台上安装 SGD 时,SGD 安装程序通过复制 passwd 程序的当前配置并创建 /etc/pam.d/tarantella 文件,自动为 SGD 创建 PAM 配置条目。

在 Oracle Solaris 平台上安装 SGD 时,必须手动添加 PAM 配置条目。例如,可能需要将 tarantella 的以下条目添加到 /etc/pam.conf 文件。

tarantella auth required pam_unix_auth.so.1
tarantella password required pam_unix_auth.so.1

2.7.3. 如何启用 UNIX 系统验证

  1. 在 SGD 管理控制台中,显示 "SGD Authentication Configuration"(Secure Global Desktop 验证配置)向导。

    转到 "Global Settings"(全局设置)→ "Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡,然后单击 "Change Secure Global Desktop Authentication"(更改 Secure Global Desktop 验证)按钮。

  2. 在 "Third-Party/System Authentication"(第三方/系统验证)步骤中,确保选中 "System Authentication"(系统验证)复选框。

  3. 在 "System Authentication - Repositories"(系统验证 - 系统信息库)步骤中,选中 "Unix" 复选框。

  4. 在 "Unix Authentication - User Profile"(Unix 验证 - 用户配置文件)步骤中,选中用于查找用户配置文件的一个或多个搜索方法所对应的复选框。

    有关搜索方法的详细信息,请参见第 2.7.1 节 “UNIX 系统验证的工作方式”

  5. 在 "Review Selections"(查看所做的选择)步骤中,检查验证配置,然后单击 "Finish"(完成)。