16.2 驗證服務

本節簡短地討論下列主題:

16.2.1 驗證服務的綜覽

本節提供下列主要 OES 元件特定的綜覽資訊:

如需更多驗證主題,請參閱 OES 線上文件中的 存取、驗證和登入

NetIdentity 代辦

在 OES 2 中,NetIdentity 代辦搭配 Novell eDirectory 驗證,提供背景驗證給 Windows Web 型態的應用程式,這些應用程式需要透過工作站上安全身分「錢包」進行 eDirectory 驗證。應用程式存取 eDirectory 身分證明時不會提示使用者輸入使用者名稱與密碼。

NetIdentity 代辦支援在 OES 2 伺服器平台上執行的應用程式,如下所示:

  • OES 2 Linux: NetStorage

  • OES 2 NetWare: NetStorage 與 iPrint (如果需要驗證的話)

只有 Windows Internet Explorer 才支援 NetIdentity 代辦瀏覽器驗證。

Novell Client 提供驗證身分證明給 NetIdentity,但是它並未從 NetIdentity 取得驗證身分證明,因為它不是 Web 型態的應用程式。

NetIdentity 代辦需要

  • 在 OES 2 伺服器上的 XTier (NetStorage) 是以 URL 的方式供 Web 型態的應用程式使用。

  • 在工作站上安裝的 NetIdentity 代辦。

如需有關使用 NetIdentity 代辦的詳細資訊,請參閱《適用於 NetWare 6.5 的 NetIdentity 管理指南

Novell 模組化驗證服務 (Novell Modular Authentication Service,NMAS)

Novell 模組化驗證服務 (NMAS™) 提供各種驗證方法給 NetWare、Windows 和 UNIX 網路上的 Novell eDirectory,以保護網路上的資訊。

這些登入方法是根據三個登入因素:

  • 密碼

  • 實體設備或記號

  • 生物測定驗證

例如:

  • 您可以讓使用者使用密碼、指紋掃描、記號、智慧卡、證書或非接觸式卡等等來登入。

  • 您可以讓使用者使用不同方法的組合登入,因此可提供更高層次的安全性。

有些登入方法需要額外的硬體與軟體。您必須為要使用的方法準備好所有需要的硬體與軟體。

NMAS 軟體包含下列項目:

  • NMAS 伺服器元件: 安裝為 OES 2 的一部分。

  • NMAS 用戶端: 在每個將使用 NMAS 來驗證的 Windows 工作站都需要。

協力廠商驗證方法的支援

散佈的 Novell Client 包括一些 NMAS 登入方法。

其他協力廠商方法可供下載。如需有關提供之協力廠商登入方法的資訊,請參閱 NMAS 合作夥伴的網站。每個方法都有 readme.txt 檔案或是 readme.pdf 檔案,包括特定的安裝與組態指示。

更多資訊

如需有關如何使用 NMAS 的詳細資訊,請參閱《Novell 模組化驗證服務 (NMAS) 3.2 管理指南

OES 2 中的密碼支援

管理員過去因為密碼差異而需要管理多個密碼 (簡單密碼、NDS 密碼、Samba 密碼)。管理員還需要保持密碼同步。

在 OES 2 中,您可以選擇保留目前的密碼維護方法或是部署「通用密碼」以簡化密碼管理。如需詳細資訊,請參閱《Novell 密碼管理指南》。

所有正在開發的 Novell 產品與服務都可處理延伸字元 (UTF-8 編碼) 密碼。如需可處理延伸字元的最新產品與服務清單,請參閱 Novell TID 10083884

表 16-6 中摘要 eDirectory 中支援的密碼類型。

表 16-6 eDirectory 密碼類型

密碼類型

描述

NDS

NDS 密碼是以雜湊格式儲存,這種格式在 eDirectory 內不可反轉。只有 NDS 系統可以利用這個密碼,而且它無法轉換成任何其他格式供任何其他系統使用。

Samba

在 OES 2 中,Samba 使用者預設會取得指定的「通用密碼」規則。

若有需要,OES 2 也支援 Samba 雜湊密碼。不過,如果您想要使用 Samba 雜湊密碼,就必須選擇不部署通用密碼。選擇 Samba 密碼的使用者必須記住變更 eDirectory 密碼時要同步密碼。

如需詳細資訊,請參閱《OES 2:Samba 管理指南》中的 Samba 密碼

簡易

簡單密碼提供一個可反轉的值,它是儲存在 eDirectory 內使用者物件的屬性中。NMAS 會安全地儲存密碼的純文字值,這樣它就可以針對任何類型的驗證演算法使用。為了確保這個值是安全的,NMAS 會使用一個 DES 金鑰或是三重 DES 金鑰 (視安全領域金鑰的強度而定) 來加密 「NMAS 機密」與「組態儲存」中的資料。

簡單密碼原本是用以讓管理員可以從 Active Directory 與 iPlanet* 等其他 LDAP 目錄輸入使用者與雜湊密碼。

簡單密碼的限制是沒有強制執行密碼規則 (最小長度、過期等等)。另外,使用者預設沒有變更自己簡單密碼的權限。

通用

通用密碼 (UP) 會建立一個所有協定和驗證方法都可以使用的密碼,在多個驗證系統之間強制執行一致的密碼規則。

通用密碼是在 iManager 中由安全密碼管理員 (SPM) 管理,SPM 是安裝在 OES 2 伺服器上其中一個 NMAS 模組元件。所有的密碼限制與規則 (過期、最小長度等等)都支援。

所有在使用 UP 文件庫的用戶端上執行的現有管理工具都會自動使用通用密碼。

除非您在 OES 2 Linux 伺服器上安裝 Novell Samba,否則不會自動啟用通用密碼。您可以選擇將 Samba 雜湊密碼分開儲存。不過,這需要使用者在變更 eDirectory 密碼時永遠記得同步 Samba 密碼。

Novell Client 支援通用密碼。它也支援網路中較舊系統的 NDS 密碼。Novell Client 會在部署 UP 時自動升級以使用通用密碼。

如需詳細資訊,請參閱《Novell 密碼管理指南》中的 部署通用密碼

16.2.2 驗證的規劃

如需規劃主題,請參閱 OES 線上文件中的 存取、驗證和登入

16.2.3 驗證的共存和移轉

如需驗證與安全性共存及移轉的資訊,請參閱在本指南中的 節 21.0, 安全性節 22.0, 證書管理

16.2.4 設定和管理驗證

如需組態與管理主題的清單,請參閱 OES 線上文件中的 存取、驗證和登入