添加网络打印机错误?怎么办?Windows 无法连接到打印机。 服务器打印后台处理程序服务没有运行。
可能是你的安全软件限制了,看一下360或者腾讯管家之类的,里面有一个启动项优化,里面应该可以找到这个服务
开始--运行--servicesmsc--进入Print Spooler设置 自动启动
试试在服务里有个“print spooler”,右击,点属性,将“登录”选项中的“允许服务与桌面交互”的勾去掉,重启服务。
另外,在共享里面,在“端口”页中把“启动双向支持”取消掉也行
开始-控制面板-计算机管理-服务,print spooler这个服务是否设置“自动”然后点“启动”。在360里把这个程序给禁止了。重新打开就好了: 360高级工具-开机加速-服务选项下的“系统关键服务” 把print spooler找出来点“恢复启动”即可。用其它类似软件途径类似。
打开管理工具 里面有角色 打开添加就可以了
域结构简介
1、域含义:
域由群网络连接起计算机所组计算机内资源共享给其使用
2、与工作组结构网络区别:
域内所计算机共享集式目录数据库包括整域内用户与安全数据工作组结构网络每台计算机位置平等相互共享
3、域计算机类型:
A、 域控制器:WIN2000SERVER才做域控制器域控制器网络台目录数据库自复制别域服务器目录数据库域审核登录用户用户名密码台域服务器共同审核用户登录提高效率
B、 员服务器:域内WIN2000服务器域控制器员服务器加入域独立服务器员服务器没目录能审核域用户登录都自本安全数据库审核本用户
C、 其计算机:其计算机用访问些计算机资源
目录定义
电本:其姓名、电号、址等些目录我容易找所需数据目录服务:让用户容易目录查找所要数据WIN2000存储用户、组、打印机等象相关数据位置称目录数据库负责提供目录服务组件称目录
1、 适用范围
应用范围广台计算机、计算机网络至数据广域网组合
2、 名称空间
A、 名称空间含义:块划区域区域内利用某名字找与名字关信息
B、 WIN2000目录名称空间利用象名称找相关数据
C、 WIN2000名称结构采用DNS结构
3、象与属性
WIN2000资源都象形式存象通属性描述其特征用户象类别用户姓、名、电用户属性
4、容量与组织单位
A、容量与象相似自名称自属性实体组象其容量
B、组织单位容量包括其象组织单位
5、域目录树
A、 域目录树:包含域网络则网络设置域目录树结构说些域树状形式存
B、域目录树域名包含着父域域名
C、域目录树所域共享目录目录数据散存储各域内各域内数据合并目录
6、信任
两域间必须建立信任关系才访问域内资源域加入域目录树域自信任其层域并且些信任关系具备双传递性
7、域目录林
网络设置域目录树结构让些域目录树合并域目录林Abccom域与zyxcom域
8、架构
目录内象类别等数据定义架构内定义用户象类别内饮食哪些属性等域目录林所域目录树共享架构
9、全局编录
A、 全局编录原:目录内数据散存储各域内每域存储与些域本身相关数据WIN2000存储各域内数据合并目录让WIN2000用户快速找其域内资源WIN2000才设计全局编录
B、 全局编录内包含着目录服务器每象存储每象部属性全部属性
C、 全局编录数据存储全局编录服务器系统默认第台域控制器全局编录服务器域目录林共享全局编录服务器
10、站点
A、 站点含义:指或IP网些网间通高速(512K)些网站点
B、 站点与域区别:域实体组站点实体组、每站点能包含域域同属于站点
11、名称
目录内每象都名称并且利用名称识别每象
A 辨名称(ND):包含象所完整路径abccom
orthsalesobyong
B、 相辨名称(RDN):RDNDN完整路径
C、 全局标识符:GUID128数值所建立任何象系统都自给象指定唯GUIDGUID永远改变
D、 用户主体名称{***}:todayhero@abccom用户主体名称
目录介绍
()目录服务
目录数据库存贮网络资源相关信息包括资源位置、管理等信息
目录服务 种网络服务目录服务标记管理网络所实体资源(比计算机、用户、打印机、文件、应用等)并且提供命名、描述、查找、访问及保护些实体信息致使网络所用户应用都能访问些资源
(二)目录(Active Directory)
目录 Windows 2000完全实现目录服务Windows 2000网络体系基本结构模型Windows 2000网络操作系统核支柱管理机构
MicrosoftWindows 2000提供目录全面目录服务管理案企业级目录服务具伸缩性目录采用Internet标准协议与操作系统紧密集起目录仅管理基本网络资源比计算机象、用户账户、打印机等充考虑现代应用业务需求些应用提供基本管理象模型比用户账户象具办公电、手机、呼机、住址、司、属、电邮件等属性几乎所应用直接利用系统提供目录服务结构且目录具扩充能力允许应用程序定制目录象属性或者添加新象类型
(三)目录用处
(四)目录逻辑结构
目录逻辑结构非灵目录提供完全树状层结构视图逻辑结构与前面我讨论名字空间直接关系逻辑结构用户管理员查找、定位象提供极便目录逻辑单元包括:域、组织单元(Organizational Unit简称OU)、域树、域森林
1、 域(Domain)
域 既Windows网络系统逻辑组织单元Internet逻辑组织单元Windows 2000系统域安全边界域管理员能管理域内部除非其域显式赋予管理权限才能够访问或者管理其域每域都自安全策略及与其域安全信任关系
2、 OU(Organizational Unit)
OU 容器象我域象组织逻辑组所OU纯粹逻辑概念帮助我简化管理工作OU包含各种象比用户账户、用户组、计算机、打印机甚至包括其OU所我利用OU域象形完全逻辑层结构于企业讲我按部门所用户设备组OU层结构按理位置形层结构按功能权限OU层结构由于OU层结构局限于域内部所域OU层结构与另域OU层结构完全独立
3、 树
域通信任关系连接起所域共享公共表结构(schema) 、配置全局目录(global catalog)形 域树 域树由域组些域共享同表结构配置形连续名字空间树域通信任关系连接起目录包含或域树
4、 森林
域森林 指或没形连续名字空间域树域林所域树共享同表结构、配置全局目录域林所域树通Kerberos信任关系建立起所每域树都知道Kerberos信任关系同域树交叉引用其域树象
(五)其
(1)域控制器(Domain Controller)
域控制器指运行Windows 2000 Server版本服务器保存目录信息副本域控制器管理目录信息变化并些变化复制同域其域控制器域控制器负责用户登录程及其与域关操作比身份认证、目录信息查找等 域域控制器规模较域需要两域控制器实际使用另用于容错性检查;规模较域使用域控制器 Windows 2000域结构与Windows NT 4域结构同目录域控制器没主目录采用主机复制案每域控制器都写入目录副本某刻同域控制器目录信息能所同旦目录所域控制器执行同步操作新变化信息致
(2)目录与DNS
目录使用域名服务DNS作定位服务同标准DNS作扩充目录使用DNS处于我使Windows 2000域与Internet域统起即Windows域名DNS域名
(3)Active Directory命名规范
a辨别名( distinguished name (DN))
目录每象都唯辨别名DNDN由域名、象名组: DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户象James Smithcontosocom域Users组织单元Teacher单元.
bUser Principal Name : 由用户登录名域名组 JamesS@contosocom
域运行模式
(1) 混合模式 混合模式域既Windows 2000域控制器Windows NT 4域控制器渡模式利用种模式我现系统逐步升级混合模式目录些功能能发挥 (2) 准模式 目录标准模式要求所域控制器都必须运行Windows 2000候目录所功能特性才能充体现
目录安装
运行 Active Directory 安装向导 Windows 2000 Server 计算机升级域控制器创建新域或者向现域添加其域控制器创建域控制器:
§ 创建网络第域
§ 树林创建其域
§ 提高网络用性靠性
§ 提高站点间网络性能
要创建 Windows 2000 域必须该域至少创建域控制器创建域控制器创建该域能没域控制器域确定用户单位需要域则必须每附加域至少创建域控制器树林附加域:新域、新域树根
安装步骤示例
1、安装域第台域控制器
安装 Active Directory 前首先确定DNS服务工作面用户安装根域 nt2000com 域第台域控制器
步骤1 利用配置服务器启位于 %Systemroot%system32 Active Directory 安装向导程序 DCPromoexe
图1单击"步"
步骤2 由于用户所建立域第台域控制器所选择"新域域控制器" 单击"步"
步骤3 选择"创建新域域目录树" ,单击"步"
步骤4 选择"创建新域域目录林", 单击"步"
步骤5 "新域 DNS 全名"输入要创建域名nt2000com图 2单击"步"
步骤6 安装向导自域控制器 NetBIOS 名设置 "nt2000" ,单击"步"
步骤7 显示数据库、目录文件 及Sysvol 文件保存位置般必作修改单击"步"
步骤8 配置 DNS 服务,单击"步",(安装 Active Directory 前未配置 DNS 服务器让安装向导配置 DNS 推荐使用种)
步骤9 用户组选择默认权限考虑现数单位仍需要使用 Windows 2000 前版本所选择"与 Windows 2000 服务器前版本相兼容权限"
图 3单击"步"
步骤10 输入目录恢复模式管理员密码,单击"步"
步骤11 安装向导显示摘要信息,单击"步"始安装图4
步骤12 安装完重新启计算机
检验安装结
安装完通检验 Active Directory 安装确安装程项重要工作 DNS 数据库添加服务记录( SRV 记录)
1.检查 DNS 文件SRV记录
用文本编辑器打 %systemroot%/system32/config/ Netlogondns 文件察看 LDAP 服务记录本例
_ldap_tcpnt2000com 600 IN SRV 0 100 389 n2k_servernt2000com
2验证 SRV 记录 NSLOOKUP 命令工具运行
步骤1 命令提示行输入 NSLOOKUP
步骤2 输入 set type=srv
步骤3 输入 _ldap_tcpnt2000com
返服务器名 IP 址说明 SRV 记录工作
2、安装第二台域控制器
安装完第台域控制器其域名 nt2000com ,例该服务器用于总公司由于公司扩展需要其新建工厂建立自域名域控制器则用户工厂域名定义 mannt2000com 由于域名与 nt2000com 连续域名所组目录树今随着工厂发展用户目录树继续逐级添加域(:accountingmannt2000com)需要添加域名与该目录树连续(:nt3000com)则用户需要建立新目录树由目录树组域目录林
安装第二台域控制器前首先检验IP设置DNS设置保证访问域控制器(n2k_servernt2000com)
步骤1 利用配置服务器启位于 %Systemroot%system32 Active Directory 安装向导程序 DCPromoexe 图1击"步"
步骤2 由于用户所建立域台域控制器所选择"新域域控制器" 单击"步"
步骤3 选择"现域目录树创建新域" ,单击"步"
步骤4 "网络凭据"框输入级域域名及具管理员权限用户名密码, 单击"步"
步骤5 "域安装"框输入父域域名(nt2000com)域域名(man),域完整域名自显示 mannt2000com,单击"步"
步骤6 安装向导自域控制器 NetBIOS 名设置"man",用户进行修改 ,单击"步"
步骤7 显示数据库、目录文件及 Sysvol 文件保存位置般必作修改单击"步"
步骤8 用户组选择默认权限考虑现数单位仍需要使用 Windows 2000 前版本所选择"与 Windows 2000 服务器前版本相兼容权限",单击"步"
步骤9 单击"步"始安装重新启 n2k_servernt2000com " Active Directory 域信任关系"显示新建域 mannt2000com 图5
43 DHCP服务管理
使用TCP/IP协议网络每台计算机都必须至少IP址才能与其计算机连接通信便于统规划管理网络IP址DHCP(Dynamic Host Configure Protocol态主机配置协议)应运种网络服务利于校园网络客户机IP址进行效管理需要手指定IP址
DHCP服务安装
DHCP指由服务器控制段IP址范围客户机登录服务器自获服务器配IP址网掩码首先DHCP服务器必须台安装Windows 2000 Server/Advanced Server系统计算机;其担任DHCP服务器计算机需要安装TCP/IP协议并其设置静态IP址、网掩码、默认网关等内容默认情况DHCP作Windows 2000 Server服务组件系统自安装必须添加进:
1 依点击始→设置→控制面板→添加/删除程序→添加/删除Windows组件打相应框
2 用鼠标左键点击选框组件列表框网络服务项单击[详细信息]按钮现带具体内容框
3 框网络服务组件列表框勾选态主机配置协议(DHCP)单击[确定]按钮根据屏幕提示放入Windows 2000安装光盘复制所需要程序
4 重新启计算机始→程序→管理工具现DHCP项说明DHCP服务安装功
DHCP服务器授权
于网络安全管理考虑并Windows 2000 Server安装DHCP功能能直接使用必须进行授权操作未经授权操作服务器提供DHCP服务DHCP服务器授权操作程: 1 依点击始→程序→管理工具→DHCP打DHCP控制台窗口 2 控制台窗口用鼠标左键点击选服务器名单击右键快捷菜单选授权需要几钟等待间注意:系统间没反应按F5键或选择菜单工具操作刷新进行屏幕刷新或先关闭DHCP控制台服务器名用鼠标右键点击快捷菜单授权已经变撤消授权则表示DHCP服务器授权功明显标记服务器名前面红色向箭变绿色向箭台授权DHCP服务器配IP权利
添加IP址范围 DHCP服务器授权需要设置IP址范围通给DHCP服务器设置IP址范围DHCP客户机向DHCP服务器申请IP址DHCP服务器所设置IP址范围选择没使用IP址进行态配添加IP址范围操作:
1 点击始→程序→管理工具→DHCP打DHCP控制台窗口
2 选DHCP服务器名服务器名点击鼠标右键现快捷菜单选择新建作用域现窗口单击[步]按钮现框输入相关信息单击[步]按钮图1所示
3 图1所示窗口根据自网络实际情况各项进行设置单击[步]按钮现图2所示窗口 4 图2所示窗口输入需要排除IP址范围由于校园网络网络设备需要指定静态IP址(即固定IP址)服务器、交换机、路由器等必须些已经配IP址DHCP服务器IP址范围排除否则引起IP址冲突导致网络故障 5 单击[步]按钮现租约期限窗口设置IP址租期间值般情况校园网络IP址比较紧张候租期设置短些IP址比较宽松租期设置些设置完单击[步]按钮现配置DHCP选项窗口 6 配置DHCP选项窗口选择我想现配置些选项DNS服务器、默认网关、WINS服务器址等内容进行设置;选择否我想稍配置些选项需要些功能再进行配置处我选择前者单击[步]按钮 7 现窗口输入网络路由器IP址(即默认网关IP址)或NAT服务器(网络址转换服务器)IP址WinRoute、SyGate等客户机DHCP服务器IP信息包含默认网关设定接入Internet 8 单击[步]按钮框设置关客户机DNS域名称同输入DNS服务器名称IP址单击[添加]按钮进行确认单击[步]按钮现窗口进行WINS服务器相关设置设置完单击[步]按钮 9 现窗口选择我想现激作用域单击[步]按钮现窗口单击[完]按钮设置结束DHCP管理器看我刚刚建作用域 注意:您校园网络工作组形式存第6步配置DHCP选项窗口选择否我想稍配置些选项设置程跳第7、8步您校园网络域形式存建议您网络配置顺序:目录建立→WINS建立→DNS建立→DHCP建立减少麻烦
DHCP服务测试 经述设置DHCP服务已经式启我需要客户机进行测试需客户机IP址选项设自获取IP址随重新启客户机客户机运行框键入Ipconfig/all即看客户机配态IP址
华为云服务器被封怎么导出数据:
1、GaussDB(DWS)数据库支持通过HDFS外表导出ORC格式数据至MRS,通过外表设置的导出模式、导出数据格式等信息来指定导出的数据文件,利用多DN并行的方式,将数据从GaussDB(DWS)数据库导出到外部,存放在HDFS文件系统上,从而提高整体导出性能。
2、登录华为云控制台,选择大数据、MapReduce服务,单击购买集群,选择自定义购买,填写软件配置参数,单击下一步。
3、填写硬件配置参数,单击下一步。
4、填写高级配置参数如下表,单击立即购买,等待约15分钟,集群创建成功。
5、创建MRS数据源连接。登录DWS管理控制台,单击已创建好的DWS集群,确保DWS集群与MRS在同一个区域、可用分区,并且在同一VPC子网下。切换到MRS数据源,单击创建MRS数据源连接。
dhcp是动态主机配置协议,使用udp协议,主要使用udp67和udp 68号端口
1client端会发送dhcp discover广播包
2dhcp服务器会回应dhcp offer广播包
3client端会发送dhcp request广播包
4dhcp服务器发送dhcp ack广播包
[root@mini ~]# rpm -qa dhcp
[root@mini ~]# cat /etc/centos-release
CentOS release 69 (Final)
[root@mini ~]# uname -r
2632-696el6i686
[root@mini ~]# uname -m
i686
[root@mini ~]# yum install -y dhcp
[root@mini ~]# rpm -qa dhcp
dhcp-411-53P1el6centos1i686
[root@mini ~]# rpm -qc dhcp
/etc/dhcp/dhcpdconf
/etc/dhcp/dhcpd6conf
/etc/openldap/schema/dhcpschema
/etc/portreserve/dhcpd
/etc/sysconfig/dhcpd
/etc/sysconfig/dhcpd6
/etc/sysconfig/dhcrelay
/etc/sysconfig/dhcrelay6
/var/lib/dhcpd/dhcpdleases
/var/lib/dhcpd/dhcpd6leases
[root@mini ~]# cat /etc/dhcp/dhcpdconf
#
# DHCP Server Configuration file
# see /usr/share/doc/dhcp/dhcpdconfsample
# see 'man 5 dhcpdconf'
#
查询dhcp sample文件(dhcpdconfsample文件为dhcp配置文件模板)
# rpm -ql dhcp
配置完成后的文件
[root@mini ~]# cat /etc/dhcp/dhcpdconf
#
# DHCP Server Configuration file
# see /usr/share/doc/dhcp/dhcpdconfsample
# see 'man 5 dhcpdconf'
#
# A slightly different configuration for an internal subnet
subnet 1721610 netmask 2552552550 {
range 17216110 17216130;
option domain-name-servers minilocaldomain;
option domain-name "minilocaldomain";
option routers 1721611;
option broadcast-address 1721611;
default-lease-time 600;
max-lease-time 7200;
}
查看配置是否正确
[root@mini ~]# /etc/initd/dhcpd configtest
Syntax: OK
DHCP启动失败,并查询到如下报错信息(/var/log/messages)
Nov 6 06:37:24 mini dhcpd: No subnet declaration for eth0 (19216828139)
Nov 6 06:37:24 mini dhcpd: Ignoring requests on eth0 If this is not what
Nov 6 06:37:24 mini dhcpd: you want, please write a subnet declaration
Nov 6 06:37:24 mini dhcpd: in your dhcpdconf file for the network segment
Nov 6 06:37:24 mini dhcpd: to which interface eth0 is attached
Nov 6 06:37:24 mini dhcpd:
Nov 6 06:37:24 mini dhcpd:
Nov 6 06:37:24 mini dhcpd: Not configured to listen on any interfaces!
Nov 6 06:37:24 mini dhcpd:
Nov 6 06:37:24 mini dhcpd: This version of ISC DHCP is based on the release available
Nov 6 06:37:24 mini dhcpd: on ftpiscorg Features have been added and other changes
Nov 6 06:37:24 mini dhcpd: have been made to the base software release in order to make
Nov 6 06:37:24 mini dhcpd: it work better with this distribution
Nov 6 06:37:24 mini dhcpd:
Nov 6 06:37:24 mini dhcpd: Please report for this software via the CentOS Bugs Database:
Nov 6 06:37:24 mini dhcpd: http://bugscentosorg/
Nov 6 06:37:24 mini dhcpd:
Nov 6 06:37:24 mini dhcpd: exiting
解决办法:
这是因为DHCP程序发现没有“Not configured to listen on any interfaces”,只需要配置相应的IP到目标网卡中便可以解决这个问题。
[root@mini ~]# ifconfig eth1 1721611/24
[root@mini ~]# /etc/initd/dhcpd start
Nov 6 06:43:11 mini dhcpd: Internet Systems Consortium DHCP Server 411-P1
Nov 6 06:43:11 mini dhcpd: Copyright 2004-2010 Internet Systems Consortium
Nov 6 06:43:11 mini dhcpd: All rights reserved
Nov 6 06:43:11 mini dhcpd: For info, please visit https://wwwiscorg/software/dhcp/
Nov 6 06:43:11 mini dhcpd: Not searching LDAP since ldap-server, ldap-port and ldap-base-dn were not specified in the config file
Nov 6 06:43:11 mini dhcpd: Wrote 0 leases to leases file
Nov 6 06:43:11 mini dhcpd: Listening on LPF/eth1/00:0c:29:c5:2b:7e/1721610/24
Nov 6 06:43:11 mini dhcpd: Sending on LPF/eth1/00:0c:29:c5:2b:7e/1721610/24
Nov 6 06:43:11 mini dhcpd:
Nov 6 06:43:11 mini dhcpd: No subnet declaration for eth0 (19216828139)
Nov 6 06:43:11 mini dhcpd: Ignoring requests on eth0 If this is not what
Nov 6 06:43:11 mini dhcpd: you want, please write a subnet declaration
Nov 6 06:43:11 mini dhcpd: in your dhcpdconf file for the network segment
Nov 6 06:43:11 mini dhcpd: to which interface eth0 is attached
Nov 6 06:43:11 mini dhcpd:
Nov 6 06:43:11 mini dhcpd: Sending on Socket/fallback/fallback-net
[root@mini ~]# cat /var/lib/dhcpd/dhcpdleases
注意:如果Linux开启了防火墙,那么需要对UDP 67和UDP 68放行。或者直接将放火墙关闭
作为一名网络管理员,您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户,具体来说是通过一个LDAP服务器进行验证,可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息,从而既可以减少用户管理上的管理开销,又可以使远程登录过程更加安全。
数据安全作为现代系统中网络安全的一部分,与系统安全一样的重要,所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。
在本文中,我将谈到数据安全性的机密性方面:确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器(RADIUS),以执行对用户的验证、授权和记帐(AAA)。
各组成元素介绍
首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作,另外还有LDAP协议。
Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的(请参阅参考资料获得相关链接)。它允许网络访问服务器(NAS)执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点(访问点是网络上专门配置的节点;WAP是无线版本)。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。
RADIUS和AAA
如果NAS收到用户连接请求,它会将它们传递到指定的RADIUS服务器,后者对用户进行验证,并将用户的配置信息返回给NAS。然后,NAS接受或拒绝连接请求。
功能完整的RADIUS服务器可以支持很多不同的用户验证机制,除了LDAP以外,还包括:
PAP(Password Authentication Protocol,密码验证协议,与PPP一起使用,在此机制下,密码以明文形式被发送到客户机进行比较);
CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议,比PAP更安全,它同时使用用户名和密码);
本地UNIX/Linux系统密码数据库(/etc/passwd);
其他本地数据库。
在RADIUS中,验证和授权是组合在一起的。如果发现了用户名,并且密码正确,那么RADIUS服务器将返回一个Access-Accept响应,其中包括一些参数(属性-值对),以保证对该用户的访问。这些参数是在RADIUS中配置的,包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控制列表(ACL)或要在NAS上应用的静态路由,另外还有其他一些值。
RADIUS记帐特性(在RFC 2866中定义;请参阅参考资料获得相关链接)允许在连接会话的开始和结束发送数据,表明在会话期间使用的可能用于安全或开单(billing)需要的大量资源--例如时间、包和字节。
轻量级目录访问协议
轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)是一种开放标准,它定义了用于访问和更新类X500 目录中信息的一种方法。LDAP可用于将用户信息保存在一个中央场所,从而不必将相同的信息存储在每个系统上。它还可以用于以一种一致的、可控制的方式维护和访问信息。
LDAP在一个集中的目录中管理用户,从而简化了用户管理工作。除了存储用户信息外,在LDAP中定义用户还可以使一些可选特性得到启用,例如限制登录的数量。在本文中,您将学习如何配置RADIUS服务器,以便基于LDAP验证用户--由于本文的重点在于RADIUS,我不会描述关于LDAP服务器的安装和配置的细节。
OpenLDAP是LDAP的一种开放源码实现。在OpenLDAPorg上可以找到关于它的详细信息(请参阅参考资料获得相关链接)。
场景
想像以下场景:
用户在家里可以通过拨号验证访问他公司的内部网。
带无线支持的笔记本电脑可以通过无线验证连接到一个校园网。
管理员使用他们的工作站通过管理用户验证以telnet或HTTP登录到网络设备。
所有这些验证任务都可以通过一个RADIUS服务器基于一个中央LDAP服务器来完成(见图 1)。
图1 通过RADIUS和LDAP进行验证
在本文中,我将重点描述对最后一种选项的实现,作为对该解决方案的一个介绍。首先安装RADIUS服务器。
安装 RADIUS
RADIUS服务器软件可以从多个地方获得。在本文中,我将使用FreeRADIUS(请参阅参考资料获得相关链接),但Cisco Secure Access Control Server (ACS)是一种集中式用户访问控制框架,可用于跨UNIX和Windows上多个Cisco设备的用户管理,并支持Cisco 特有的协议TACACS+(据说在支持TACACS+的设备上可拥有更多的特性)。
FreeRADIUS是来自开放源码社区的一种强大的Linux上的RADIUS服务器,可用于如今的分布式和异构计算环境。FreeRADIUS 102 支持LDAP、MySQL、PostgreSQL和Oracle数据库,并与诸如EAP和Cisco LEAP之类的网络协议兼容。FreeRADIUS目前被部署在很多大型生产网络系统中。
下面的步骤演示如何在Red Hat Enterprise Linux Advanced Server 30上安装和测试FreeRADIUS 102:
清单1 安装和测试FreeRADIUS
tar -zxvf freeradius-102targz - extract it with gunzip and tar
/configure
make
make install - run this command as root
radiusd or - start RADIUS server
radiusd -X - start RADIUS server in debug mode
radtest test test localhost 0 testing123 - test RADIUS server
如果radtest收到一个响应,则表明FreeRADIUS服务器工作正常。
同时我还推荐另一种免费工具,那就是NTRadPing,它可用于测试来自Windows客户机的验证和授权请求。它可以显示从RADIUS服务器发回的详细的响应,例如属性值。
现在让我们来配置FreeRADIUS。
配置FreeRADIUS
RADIUS服务器的配置包括对服务器、客户机和用户的配置(都是用于验证和授权)。出于不同的需要,对RADIUS服务器可以有不同的配置。幸运的是,大多数配置都是类似的。
配置服务器
FreeRADIUS配置文件通常位于/etc/raddb文件夹下。首先,我们需要像下面这样修改radiusdconf文件。
清单2 修改radiusdconf
1) Global settings:
log_auth = yes - log authentication requests to the log file
log_auth_badpass = no - don't log passwords if request rejected
log_auth_goodpass = no - don't log passwords if request accepted
2) LDAP Settings:
modules {
ldap {
server = "bluepagesibmcom" - the hostname or IP address of the LDAP server
port = 636 - encrypted communications
basedn = "ou=bluepages,o=ibmcom" - define the base Distinguished Names (DN),
- under the Organization (O) "ibmcom",
- in the Organization Unit (OU) "bluepages"
filter = "(mail=%u)" - specify search criteria
base_filter = "(objectclass=person)" - specify base search criteria
}
authenticate { - enable authentication against LDAP
Auth-Type LDAP {
ldap
}
参数被设为使用 IBM BluePages,这是LDAP服务的一个实例。对于其他LDAP服务器,参数可能有所不同。
配置客户机
客户机是在/etc/raddb/clientsconf 文件中配置的。有两种方式可用于配置RADIUS客户机。您可以按IP subnet将NAS分组(清单 3),或者可以按主机名或 IP 地址列出NAS(清单4)。如果按照第二种方法,可以定义shortname和nastype。
清单3 按IP subnet将NAS分组
client 19216800/24 {
secret = mysecret1 - the "secret" should be the same as configured on NAS
shortname = mylan - the "shortname" can be used for logging
nastype = cisco - the "nastype" is used for checkrad and is optional
}
清单4 按主机名或 IP 地址列出 NAS
client 19216801 {
secret = mysecret1
shortname = myserver
nastype = other
}
为验证而配置用户
文件 /etc/raddb/user 包含每个用户的验证和配置信息。
清单5 /etc/raddb/user 文件
1) Authentication type:
Auth-Type := LDAP - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
- authenticate against the
- password set in /etc/raddb/user
Auth-Type := System - authenticate against the system password file
- /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login, - for administrative login
为授权而配置用户
下面的验证服务器属性-值对(AV)应该为用户授权而进行配置。在验证被接受后,这个属性-值对被返回给NAS,作为对管理员登录请求的响应。
对于Cisco路由器,有不同的权限级别:
级别1是无特权(non-privileged)。提示符是 router>,这是用于登录的默认级别。
级别15是特权(privileged)。 提示符是 router#,这是进入 enable 模式后的级别。
级别2到14 在默认配置中不使用。
下面的命令可以使一个用户从网络访问服务器登录,并获得对EXEC命令的立即访问:
cisco-avpair ="shell:priv-lvl=15"
下面的代码处理相同的任务,这一次是对于Cisco无线访问点:
Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"
任何功能组合都和这个属性一起返回:
Cisco:Avpair = "aironet:admin-capability=ident+admin"
Cisco:Avpair = "aironet:admin-capability=admin"
请与 Cisco 联系,以获得关于这些命令的更多信息。
配置网络访问服务器
接下来我们将配置NAS,首先是配置一个Cisco路由器,然后轮到一个Cisco WAP。
对于Cisco IOS 121路由器,我们将启用AAA,然后配置验证、授权和记帐。
清单6 启用AAA
aaa new-model
radius-server host 1921680100
radius-server key mysecret1
AAA 在路由器上应该被启用。然后,指定能为 NAS 提供 AAA 服务的 RADIUS 服务器的列表。加密密钥用于加密 NAS 和 RADIUS 服务器之间的数据传输。它必须与 FreeRADIUS 上配置的一样。
清单7 配置验证
aaa authentication login default group radius local
line vty 0 4
login authentication default
在这个例子中,网络管理员使用 RADIUS 验证。如果 RADIUS 服务器不可用,则使用 NAS 的本地用户数据库密码。
清单8 配置授权
aaa authorization exec default group radius if-authenticated
允许用户在登录到 NAS 中时运行 EXEC shell。
清单9 配置记帐
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius
必须对路由器进行特别的配置,以使之发送记帐记录到RADIUS服务器。使用清单9中的命令记录关于NAS系统事件、网络连接、输出连接、EXEC操作以及级别1和级别15上的命令的记帐信息。
这样就好了。现在让我们看看为Cisco无线访问点而进行的配置。下面的配置适用于带有Firmware 1201T1的Cisco 1200 Series AP。如图2中的屏幕快照所示,您:
输入服务器名或 IP 地址和共享的秘密。
选择“Radius”作为类型,并选中“User Authentication”。
图2 为WAP配置NAS
实际上,在这里您还可以配置EAP Authentication,使FreeRADIUS可用于验证无线LAN的一般用户。
记帐:工作中的RADIUS
现在所有配置都已经完成,FreeRADIUS服务器可以开始记录NAS发送的所有信息,将该信息存储在/var/log/radius/radiuslog文件中,就像这样:
清单10 /var/log/radius/radiuslog文件
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
mylan port 1 cli 192168094)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
client mylan port 1 cli 192168094)
详细的记帐信息被存放在/var/log/radius/radacct目录中。清单11表明,David在2005年3月4日19:40到19:51这段时间里从 192168094登录到了路由器19216801。这么详细的信息对于正在调查安全事故以及试图维护易于审计的记录的管理员来说无疑是一大帮助。
清单11 RADIUS 提供的记帐细节示例
Fri Mar 4 19:40:12 2005
NAS-IP-Address = 19216801
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192168094"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0
Client-IP-Address = 19216801
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412
Fri Mar 4 19:51:17 2005
NAS-IP-Address = 19216801
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192168094"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0
Client-IP-Address = 19216801
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077
结束语
通过遵循本文中列出的简单步骤,您可以建立一个Remote Authentication Dial-In User Service服务器,该服务器使用一个外部的LDAP服务器来处理为网络安全问题而进行的验证、授权和记帐。本文提供了以下内容来帮助您完成此任务:
对RADIUS和LDAP服务器以及AAA概念的介绍。
一个融入了安装和配置任务的场景。
关于安装和配置RADIUS服务器的说明。
关于配置网络访问服务器的细节。
RADIUS将提供和管理的详细信息的一个示例。
这些指示可以快速确保受保护的数据只能由Linux系统上已授权的实体访问。
与操作系统相关的安全要素?
操作系统的安全涉及诸多方面,包括但不限于“身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制”等。
1、身份鉴别
操作系统应对登录操作系统的用户进行身份标识和鉴别,例如:用户至少要划分为“管理员组”和“普通用户组”。
操作系统管理员组的用户身份标识,应具有不易被猜测和冒用的特点,例如:将linux默认的root改名为admin(管理员)。
操作系统口令应有复杂度要求,例如:大写字母类、小写字母类、数字类、符号类混合,每类最少有1个,并且每90天更换一次。
操作系统应启用登录失败处理功能,例如:当连续输入密码错误5次后,暂停登录10分钟。
当对服务器操作系统进行远程管理时,应使用加密隧道方式,例如:使用SSH(远程登录的安全外壳协议)连接linux服务器,防止鉴别信息在网络传输过程中被窃听。
应为操作系统的不同用户,分配不同的用户名,确保用户名具有唯一性
net开源的cms系统哪个好?易上手,扩展强?
汇总了一些aspnet开源cms,希望对学习ASPNET的人员带来帮助:
国内
1SiteServerCMS
SiteServerCMS网站内容管理系统是定位于中高端市场的CMS内容管理系统,能够以最低的成本、最少的人力投入在最短的时间内架设一个功能齐全、性能优异、规模庞大的网站平台。
SiteServerCMS是基于微软NET平台开发的网站内容管理系统,它集成了内容发布管理、多站点管理、定时内容采集、定时生成、多服务器发布、搜索引擎优化、流量统计等多项强大功能,独创的STL模板语言,通过Dreamweaver可视化插件能够任意编辑页面显示样式,生成纯静态页面。
经历了七年的发展、众多项目的应用以及市场的检验,SiteServerCMS不断吸收来自各方面的发展建议和成功经验,其功能不断完善和发展,系统目前已经具有成熟稳定、运行速度快等特点,适合门户、政府、学校、企业以及其他各种资讯
类网站使用。
下载地址:http://wwwsiteservercn
2NetCMS
NetCMS是基于ASPNET20开发的网站内容管理系统,程序完全开源,没有任何文件加密,不需要注册任何组件,完全开
源方便您二次开发。
全新“网站模板与网站程序完全分离”的概念,具有强大的标签加样式的个性化组合,自定义标签、自定义表单、JS管
理加JS模型(自定义JS,系统JS)的灵活应用,支持不同频道、栏目、内容页、专题等应用不同的模板,随时能编辑、修改
和更换网站界面,系统集成类同MacromediaDreamweaver一样简单的可视模板编辑方式,可批量设置属性,模板标签全面支持目前最受欢迎的DIV+CSS格式,支持批量绑定模板,完全做到轻松换肤。
下载地址:http://wwwaspxcmscom/
3ROYCMS
ROYcms!NT内容管理系统是国内CMS市场的新秀、也是国内少有的采用微软的ASPNET20+SQL2000/2005技术框架开发的CMS,充分利用ASPNET架构的优势,突破传统ASP类CMS的局限性,采用更稳定执行速度更高效的面向对象语言C#设计,沿续PETshop的代码框架,全新的模板引擎机制,全新的静态生成方案,这些功能和技术上的革新塑造了一个基础结构稳定功能创新和执行高效的CMS。
功能特色:
模板自由组合定制
静态生成HTML
资源无限级分类
插件形式易于扩展
命名规范适合二次开发
下载地址:http://wwwroycmscn/indexhtml
4网奇-Iwms系统
网奇Iwms网站管理系统是由国内知名ASPNET工程师木鸟开发的一套安全易用的网站管理系统,本系统采用ASPNET内核制作,本系统最大的特点是;后台管理功能强大,网站运行速度快,支持静态输出,网站安全性极高,对搜索引擎的支持性好,24小
时自动循环新闻采集,网站界面可任意定制各类精美页面!
网奇iwms官网:http://iwmswangqicom
5思想内容管理系统--SXCMS
主要功能如下:
支持会员、非会员在线投稿
支持文章生成静态页,可自定义文章链接地址,支持URL跳转功能
支持无限量添加文章、无限级分配栏目
支持分栏目设置不同模板、不同参数、不同阅读权限
支持定义栏目名称、栏目路径规则
支持栏目URL跳转
支持自定义某栏目生成内容页面扩展名
支持分栏目设置keyword和description
内置三种调用方式,可灵活调配前台显示页面
支持动态调用文章点击数、评论数及其它各项参数
评论采用Ajax页面无刷新技术
支持专题功能
支持前台模糊搜索功能
支持文章分栏目分对象进行采集、采集后自动发布
支持计划任务,自定义时间、周期进行更新、采集任务,支持自定义计划任务
支持RSS信息订阅
内置网页防篡改功能
支持动态或静态页面输出
下载地址:http://wwwsxcmscom
6将博CMS--JUMBOTCMS
是一套个人独立开发的内容管理系统,其前身为jbsitecms采用WEB20设计理念、无刷新更新页面,前台模板自定义
NET版本:VS2005+MSSQL2000
1、基本模块还是文章、和下载(增加了视频模块)。
2、将评论、公告、统计、友情链接、顶客等作为扩展插件,可灵活启用或关闭。
3、增加了用户留言模块(插件形式)。
4、部分标签发生了变化。
5、其他小功能的更新很多,这里不一一陈述。以上是功能上的更新,在技术上比较v2008以WebControls为主,而v2009融入了更多的前台技术
下载地址:http://jumbotcmsnet
7DotNetNuke(ASPNET20)
DotNetNuke是一个Web应用框架的理想,为创建和部署的项目,如商业网站,企业内联网和外联网,在网上出版门户,并定制垂直应用软件。方便用户-DotNetNuke旨在使用户可以更轻松地管理所有方面的项目。
下载网址:http://wwwdotnetnukecom
8内容管理系统DianCMS
内容管理系统SQL版(DianCMSSQL)是基于微软ASPNET20、AJAX10技术、采用MSSQL2000/2005存储过程进行多层架构开发的内容管理管理。其功能设计主要面向中大型企业、各个行业、事业单位以及政府机关等复杂功能站点。系统已建立文章系统、系统、下载系统、个人求职、企业招聘、房产系统、音乐系统、网上商店。使用自定义模型、自定义字段、自定义表单、自定义录入界面、会员系统等功能,您还可以轻松、灵活的建立适合自身需求的任何系统功能,最大化满足每个用户任何时候的不同需求。更多功能详见官方网站
9Zoomla!逐浪CMS
Zoomla!逐浪CMS是功能强大的网站内核与管理系统,集成内容管理OASNS项目管理采集邮件订阅等强大功能,基于c#语言net架构开发,是目前中国唯一同步支持MSSQL与Oracle两大数据库的高端CMS,用于快速构建高效门户网站,中国首家公开提供门户站群系统的高端CMS研发厂商。
演示地址:http://demozoomlacn/indexhtml
下载地址:http://wwwzoomlacn/indexshtml
10网站快车NET网站管理系统
网站快车NET是集本公司八年CMS系统开发经验之大成,投入了巨大心血和精力开发的功能强大、运行速度快、安全可靠的新一代网站管理系统(CMS)。本系统采用MSSQL和存储过程,系统运行速度快,安全性非常好,创新的可视化标签系统和数据模型功能,让你用本系统可以建立几乎所有类型的网站,开发任何风格的网站风格。系统不但拥有丰富的模板,同时还提供相当丰富的定制服务,我们可以为你定制您心目中理想的网站。
快车系统高性能的网站管理系统,经测试200万数据,5千栏目的条件下,系统运转如飞,速度和静态页相当海量数据网站当
然要用快车系统
快车系统是扩展性最好网站管理系统,数据模型(挂接表)功能,令网站可以无限扩展功能
快车系统是最好用,最酷的网站管理系统系统采用WEBOS的后台,和WINDOWS的操作方式相似,令从未从事网站管理的人,轻易上手,多窗口操作,各种工作可同时进行,国内尚无第二家使用此技术
快车系统是模板设计最灵活的网站系统,所有标签可视化设计,无需导入模板,修改标签参数后,直接刷新页面就可以看到
效果无需记忆标签参数含义
高质量、高服务,高质量的后台系统,还有高质量的服务,我们的系统一次购买,终身享有技术支持和免费升级,无需每年支付使用费。
下载地址:http://wwwzydnnet
11风讯dotNETCMS
dotNETCMSv10是一款具有强大的功能的基于ASPNET+MSSQL构架的内容管理软件,国内领先的第一款开源的、集成web20元素的、模块化的CMS建站系统。dotNETCMSv10版功能:SQL数据库+内容管理+频道管理+发布管理+会员中心+插件管理(广告系统+采集系统+问卷调查+友情链接+统计系统+整合接口+文件对比+自定义字段+自定义表单+数据库维护)
程序特点:
1全部生成静态页面/动态页面
2完全人性化的操作方式
3系统内置标签和自由标签管理,可以生成任何页面需要的任何元素和样式
4集成了新闻采集系统
5会员管理系统,并与流行论坛高度整合
6自由化的权限分配管理
7全个性化模板生成,模板由用户自由定义
8投稿,投票,广告管理
9面向高级技术人员的自由化SQL扩展标签
10自动生成水印
11后台操作自由灵活
12其他一些功能
下载地址:http://wwwfoosunnet
12动易SiteFactory
动易SiteFactory是一套基于微软NET平台、采用最新的ASPNET20技术、基于WEB应用的B/S架构分层开发的内容管理系统,专门面向需要构建企业信息门户平台的大中型企业而开发;具有强大的资讯信息管理功能、展示功能、人才招聘管理功能、在线客户服系统、问答系统、问卷调查管理、广告管理、手机短信发送、信息采集、自定义表单管理等系列功能,并且内置了包括文章、、软件、商品、flash、视频、音乐等在内的可开箱即用的标准化内容模型,以力助各中大型企业以最经济的成本和最便捷的方式构建起无限强大的企业信息门户!其中,人才招聘管理功能可助企业便捷进行在线人才招聘和管理;在线客户服务系统可助企业构建起强大的在线客户服务中心,以给客户提供更为专业的售后服务;多用户博客系统可供企业开设企业博客进行博客营销;而问答系统可助企业搭建起开放式的客服中心或行业垂直型的专业问答平台。
在SiteFactory30版本中,系统又特别新增了全文检索系统、多用户博客系统、会员注册推广、模板标签库升级工具等系列功能,为企业信息门户在用户体验、网站互动、营销推广等方面进行了更好的完善和改进。全文检索系统可对企业网站大量的各类资讯文章进行高速的检索,多用户博客系统可供企业开设企业博客进行博客营销,而模板标签库升级工具可让企业网站在升级时轻松沿用原来的网站模板。
下载地址:http://wwwpowereasynet
13拓文网站内容管理系统
同时支持Access数据库和MSSqlserver数据库,同时支持静态页面和动态页面。
文章采集、会员管理、广告管理、软件下载,新闻文章,留言本,调查投票,友情链接,在线文件管理,公告发布,数据库管理。界面友好、功能完善、简单易用、管理方便。它能帮助您建立高效率的独立站点。
下载地址:http://wwwmytopwincom
国外CMS:1、LudicoLudico是C#编写的居于ASPNET20的Portal/CMS系统。它的模块化设计是你可以按照你希望的使用或开发网站功能。它里面有高级的用户管理,一
国外CMS:
1、Ludico
Ludico是C#编写的居于ASPNET20的Portal/CMS系统。它的模块化设计是你可以按照你希望的使用或开发网站功能。它里面有高级的用户管理,一个所见即所的(WYSIWYG)的编辑器等。
下载地址:http://sourceforgenet/projects/ludico
2、umbraco
Umbraco是一款在net平台下C#开发的开源内容管理系统,该系统效率,灵活,用户界面都不错。
下载地址:http://umbracoorg
3、mojoPortal
mojoPortal是一款C#开发的面相对象网站框架,它可以运行于Windows的ASPNET和GNU/Linux或MacOSX的Mono的平台上。
下载地址:http://wwwmojoportalcom
4、KodaiCMS
KodaiCMS是NET平台下的一款功能齐全的内容管理系统。
下载地址:http://wwwgotdotnetcom/workspaces/workspaceaspxid=070f30c3-6089-4a75-b84c-fac654a7ec08
5、nkCMS
NkCMS是使用ASPnet和Sqlserver2000开发的内容管理系统。
下载地址:http://nkcmssourceforgenet
6、GoKryo
GoKryo是一个用ASPNET(C#)NET实现的简单的内容管理系统,后台数据库使用MicrosoftSQLServer。
下载地址:http://sourceforgenet/projects/gokryo
7、Amplefile
Amplefile是一款内容管理系统,是Net环境下的windows应用程序,使用了Netremoting
下载地址:http://sourceforgenet/projects/amplefile
8、ndCMS
ndCMS是ASPnet(C#)下的一个内容管理系统。它提供了用户管理,文件管理,一个WYSIWYG编辑器,模板管理,拼写检查和内置的http压缩。ndCMS的目标是提供一个简单而快速的方式部署Net站点
下载地址:http://ndcms-netsourceforgenet
9、Cuyahoga
Cuyahoga是C#开发的灵活的CMS/Portal解决方案。它可以运行于MicrosoftNET和Mono平台,支持SQLServer,PostgreSQL或MySQL作为底层数据库。
下载地址:http://wwwcuyahoga-projectorg
10、Rainbow
Rainbow项目是一款使用Microsoft'sASPNET和C#技术开发的有丰富功能的开源内容管理系统。
http://communityrainbowportalnet
无线局域网密码破解
只要你要上网的附近有无线局域网而它又加了密码,可用此法一试,不过不要用于非法目的哟{^W'` sB [[t#h
第 1 页 共 23 页
f(Jf7ny'A 无线网络WEP 的破解过程/w4i;QY[9X
WLAN 技术出现之后,“安全”就成为始终伴随在“无线”这个词身边的影子,针对无线网络(La#H kw$B#BBa
技术中涉及的安全认证加密协议的攻击与破解就层出不穷。现在,因特网上可能有数以百计,
w3sbuFv 甚至以千计的文章介绍关于怎么m4q6MN `7g:avL
攻击与破解WEP,但有多少人能够真正地成功攻破WEP 的加密算法呢下面笔者来给&e'N&K-u%a` }7P
大家介绍一些关于WEP 加密手段的知识,以及就是菜鸟只要按照步骤操作也可成功破解hU"P"Jkfi
WEP 密钥的方法。当然最终的目的还是为了让记者做好安全设置对破解更好的进行防范。l6k"H a'yi} @
本系列文章共两篇,在第一篇里主要介绍破解WEP 的方法,第二篇里介绍如何设置WLAN}2V%U-fy$d |^d
的安全设置来进行更好的防范。
%J0Y!U6O^J2]h 一、WEP:无线网络安全最初的保护者[-M)WJW3`Bb
相对于有线网络来说,通过无线局域网发送和接收数据更容易被窃听。设计一个完V5t)| Ar7~
善的无线局域网系统,加密和认证是需要考虑的两个必不可少的安全因素。无线局域网中应:c!l\\$]SK
用加密和认证技术的最根本目的就是使无线业务能够达到与有线业务同样的安全等级。针对,M'r J0d-cq ~
这个目标,IEEE80211 标准中采用了WEP(Wired Equivalent Privacy:有线对等保密)协议来vngZ|"DL
设置专门的安全机制,进行业务流的加密和节点的认证。它主要用于无线局域网中链路层信0N["S3UmwR;WF
息数据的保密。WEP 采用对称加密机理,数据的加密和解密采用相同的密钥和加密算法。8Lg2k5y7e
WEP 使用加密密钥(也称为 WEP 密钥)加密 80211 网络上交换的每个数据包的数据部ulmg Ed I
分。启用加密后,两个 80211 设备要进行通信,必须具有相同的加密密钥,并且均配置为R6V8cQvZ)y%zz
使用加密。如果配置一个设备使用加密而另一个设备没有,则即使两个设备具有相同的加密
e0~)R0h2Y!V 密钥也无法通信。(如图一所示)
+DU8JzL!Rv 图一:WEP 加密
fE@ oc] |~+Z WEP 加密过程X!kqn0r
WEP 支持 64 位和128 位加密,对于 64 位加密,加密密钥为 10 个十六进制字qCoqB
符(0-9 和 A-F)或 5 个 ASCII 字符;对于 128 位加密,加密密钥为 26 个十六进制字符或
R)w `X `F 13 个 ASCII 字符。64 位加密有时称为 40 位加密;128 位加密有时称为 104 位加密。152
6rO4Ge3G 第 2 页 共 23 页$fX@^R(o5m|
位加密不是标准 WEP 技术,没有受到客户端设备的广泛支持。WEP 依赖通信双方共享的 gDmb0@+]
密钥来保护所传的加密数据帧。其数据的加密过程如下。WG"BPM,Z8z
1、计算校验和(Check Summing)。%O p$_NN5W1
(1)对输入数据进行完整性校验和计算。KG7~8Ku9M#f
(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明~~3O_(rb t0x3k f
文作为下一步加密过程的输入。j `y"bm
2、加密。在这个过程中,将第一步得到的数据明文采用算法加密。对明文的加密有Uc0a(V7C)i@
两层含义:明文数据的加密,保护未经认证的数据。6PVC^hw#Y
(1)将24 位的初始化向量和40 位的密钥连接进行校验和计算,得到64 位的数据。z,u#HU-DqG"s
(2)将这个64 位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验
$vC)K~Jz/D O'N+g 和计算值进行加密计算。+Yz%_lG2V)J
(3)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得3r Z)B3o'I!rJ!e
到加密后的信息,即密文。
{1o:t)c@^ 3、传输。将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上
5VIT/Rrtr `#{ H"l 传输。(如图二所示)/a%_Ly~9A
图二:WEP 加密过程 BL9W^gJ'Bm
WEP 解密过程
:g"vra%EZ;lx q 在安全机制中,加密数据帧的解密过程只是加密过程的简单取反。解密过程如下。i${ e z(w&Z7h'^
第 3 页 共 23 页
$Q!FH-}Dm:p~ 1、恢复初始明文。重新产生密钥流,将其与接收到的密文信息进行异或8C/~#o!Hc[ RD
运算,以恢复初始明文信息。$u_k `gG;t9R+V
2、检验校验和。接收方根据恢复的明文信息来检验校验和,将恢复的明文信息分离,n[J1W)\B1a
重新计算校验和并检查它是否与接收到的校验和相匹配。这样可以保证只有正确校验和的数
5q;` fB3J8J 据帧才会被接收方接受。9B:i5_KhSm
图三:WEP 解密过程d(}6S0Jn
二、破解WEP 密钥前的准备工作
+mUe&q2b6C 在以下的两部分内容内,笔者将逐步地向大家介绍关于怎样来破解WEP 的密钥的2o-juw1k
方法。这种方法并不需要什么特别的硬件设备,仅仅只需两台(只有一台也可)带有无线网卡
3vAG_c4C}H 的笔记本而已,整个攻击过程所使用的也只是一些共享和自由软件,并不需什么相当专业的 fo1c,U2C2w"Z/]+fH J
工具。看懂这篇文章和学会操作的读者,并不需要你是一名网络专家,不过要基本上熟悉一,I&]"q])n7W[+ t V
些网络术语和基本的原理。最少,你应该知道怎样去ping 另外一台机器以测试网络是否畅N)~qE;kUM
通,并会打开一个Windows 的命令提示符窗口,知道输入相关命令和了解关于Windows 网
)t"u&|HH7jZh 络属性窗口的相关内容。这就是基本的要求,要不然怎么可称之为菜鸟都可学会的方法呢。,f](Wt9i:Ai}'[
1、组建实验环境
K C:]eG cDq 开始之前,我们的第一步就是要组建一个实验环境,你不可能拿别人的网络来玩你E3b:B&E;b
的破解吧,这样做既违反了法律也是一种不道德的行为噢。搭建一个实验环境下的无线网络nWQK6W'P5w
平台,则无线AP 是少不了的,另外,三台带有无线网卡的笔记本(使用有无线网卡的台式机/Y d$[)j#@U
也可以)组成的简单网络就可满足要求了。组成的网络拓扑如下图四所示。
E6| gN5M6z 第 4 页 共 23 页O SDB"d1M6q4}s,s
图四:组建一个实验环境s)h@:i"o N9Ar;[
在图四所示的网络中,无线AP 的选用,我们使用的是一个Netgear 的产品,型号1IC h yG'r-E,g
为WGT624v2,它在以后充当被攻击目标的角色,在以后就称它为目标AP。在所使用的三
AQi\ g QLKwu 台机器中,一台是作为被攻击目标的客户端机器,暂且称之为“Target”;另外两台笔记本一台
%S2D{3H;J(J i 执行主动攻击,促使网络流量的产生,以便足够多的数据包有比较短的时间内能够被捕捉到,
O"Q @Z%b 称这台机器为“Attack”;剩下的那台笔记本就是用来嗅探并捕捉那些主动攻击产生的数据包&N @q9m Z-g
了,则把它称为“Sniff”。当然,尽管整个的破解过程可以在一台笔记本上完成,但笔者并不
g P\^#I oV(qY@ 推荐这种做法,用仅仅一台笔记本,会使以后的工作变得很麻烦,并且发现使用这种方法的
[:Yg-Fs j 话窃听程序可能会发生一点小问题。在一个使用率不高的WLAN 中,使用主动攻击比被动探
|A3eguC 测的机会更大,它可在较短的时间内使WLAN 产生更多的数据包从而加快破解WEP 的速度。
[o%a;|me 在这个实验环境中一定非得要使用笔记本不可,我们当然也能够使用桌面PC 或桌!l7Z[j D8p
面PC 与笔记本混用,不过使用笔记本的话它的便携性更好,而且对现在的无线PC Card 卡 #@A(P L
有更好的兼容性。
w n&Ou\ }&S6h@ Target 所使用的无线网卡与芯片无关,只要是基于80211b,任意厂家的产品都可5rmU)aC3t z P
满足要求。而Attack 与Sniff 两台机器是使用的两块基于PRISM 芯片的80211b 的无线网xL:W!8_)O
卡。尽管我们在以后的操作中中使用的很多工具(如Kismet)都可支持相当多种类的无线网卡,
[`4ahc&M 但笔者还是建议使用基于PRISM 2 芯片的网卡,因为这种芯片能够被我们在破解过程所要
8{O9j$Z3BYp"} 使用到的所有工具都支持。 D(gf$bC\]
无线网卡一般有外置天线与内置天线两种,如果所购买的无线网卡并没有内置天线
w qAw!V!W)Vh#E 的话,还必须自己再另购天线。不过外置天线的优点就是增益更高,灵敏度更好,可以调节
!j {^ R%qT 天线的方向从而得到更好的信号接收;而内置天线是可以更方便地携带,缺点是天线方向无法~0L1R C'}$z,LND9o6_x
调节。笔者看到有一种移动式外置天线,使用起来是很方便的,在这种移动式天线的底部有j;g9K'S }0z1R
几个橡胶材料的小吸杯,可以把它方便地吸附在笔记本的顶盖上,如果是在车内使用的话,K/j4o+p q;a4U(k%X
还可把它牢牢地吸在车空窗玻璃上呢。如下图五所示。R%@6d9jHA(Wp$d(lh
第 5 页 共 23 页
#Sk#O"N8C 图四:移动式天线 ],VY/tS$E#v W
2、实验WLAN 的设置
m1A]+Lz nb)_ 适当地对这个实验环境进行一下设置是很重要的,因为我们毕竟只想要在这个用来
9c1U3E6q,T1@ P4W{2Y 实验的环境中来完成所有的操作,在下文中描述的攻击过程中,将会强制终止一1e:qi2qk8q
个
w,~ G3Kl5t 与AP 有连接的客户端。这种攻击可能会对在这个邻近区域内的无线用户造成严重损害,
f|LE"gj&lnx 为了避免邻近的AP 上的用户受到附带的攻击, 是要保护那些并不属于实验WLAN 的用户。}C)p'}'B-Cs0@
如果这个操作环境中位于一个复杂的办公室、办公大楼或其他有许多无线网络覆盖的区域中
9bIz-y OD 的话,要尝试一下这样的破解操作,请最好等到晚上没什么人工作,网络不再繁忙时进行, wj(V a:k
免得“城门失火,殃及池鱼”。'{c E'@N@
第一步就是连接和设置这个被攻击的实验无线局域网,如前面所述,这个WLAN 包7hkNG&l"T&e1N
含有一个Access Point(无线路由器)和仅仅一个无线客户端,且这个无线局域网被我们想要
+@3Z}9I z,e'wEy 破解的WEP 密钥保护起来了。把目标AP 的SSID(System Set ID)设置为“starbucks”,SSIDdO0[ )pjA}q
用来区分不同的网络,也称为网络名称。无线工作站必须出示正确的SSID,与无线访问点
h)lC4Ov^ 第 6 页 共 23 页5[7A_ ~A+DB
AP 的SSID 相同,才能访问AP;如果出示的SSID 与AP 的SSID 不同,那么AP 将拒绝他bk&x~3pA De
通过本服务区上网。可以认为SSID 是一个简单的口令,从而提供口令机制,实现一定的安
q;P#E L'b4Np 全性。并在这个WAP 上配置一个64 位的WEP 密钥来进行保护。
~4T$_U0{P)[ 把如下的信息记录下来以便以后使用
#];huJFy dr7sNB ①AP 的MAC 地址。它通常会在AP 的WEB 配置菜单上显示出来, AP 的底部或pO5F7B/HB,Y_
侧面的标签上也可能记有本机的MAC 地址。
(q L$t ~w3l ②AP 的SSID。(bI(Z9Fs&[8i-M
③AP 的无线频道(Channel)。9Q/s+G#t5f%\&g"}!v
④WEP 密钥。如果无线AP 显示的密钥像0xFFFFFFFFFF 这样的格式(把设定的值
q-} J5C+hm6M+A 替代F 的值),把除0x 外的每个字母都记下来。
P VSJ,X9nJwE 第二步就是把Target 客户端连接到目标AP 上。我们现在需要把这个客户端连接到
Rof2wiU7S 目标AP 以进行进一步的配置,(以下都是在Windows XP 下进行的),右键单击桌面上的“网
8RL4s-V )r } 上邻居”图标,或者通过“开始”菜单,然后单击“属性”,双击“Wireless Network Connection”,
'B7^ C'm7FW 然后打开如图五所示的窗口,其中显示的是有多个可用的无线网络,但如果只有一个无线网^{~;u i|S
络的话,则在该窗口中可能只仅仅显示刚刚配置的那个名为“starbucks”的AP,双击相应的
Z V7m(Kbj SSID 名称以连接到目标AP。
2t2Of3ML}"pS3\k 图五:连接到目标WLAN
%n"gA1yEH5U/\;h0`8zPk 因为AP 已开启了WEP 保护,连接时Windows 会要求输入一个密码(如图六所示),
oI)^'v ZF 把刚才设置的的WEP 密钥输入(当然从记事本或写字板文档中粘贴过来也可),稍等一会儿后C~)}AO5KB[
Windows 就会报告已连接到网络上。确认一下是否已真正地连接成功,去ping 一个在有线
N W6l2X rE6x 网络计算机来测试一下;或者假如这个实验WLAN 已接连到因特网上,随便打开一个WEB 站
Sb%j5q'J3B6f7]fn 点看是否能够连接来加以确认。如果不能成功地ping 通已知地址的机器或者打不开正常的
AbP3aU$o!HI WEB 站点,则打开无线网卡的属性,单击“支持”按钮,检查一下无线网上是否已获取了一个nL&gc0T
正确的IP 地址,如果没有能够获取正确的IP 地址,看看网络中的DHCP 服务器是否已启用,6m X @J[#Dy[
第 7 页 共 23 页I^^+AC/a
并检查无线网卡的TCP/IP 属性是否设置成“自动获取IP 地址”了,如果一切都正常,在这个s8u5j%b`8Q4`]9K
无线连接中点击 “修复”按钮来加以改正。
3[8~ Jyoo 图六:输入WEP 密钥
gAA3bC$~ B z 第三步就是记录下Target 机器的MAC 地址。一旦成功连接到网络上,就把被攻击 M3WS2Paa/}
的Target 计算机的MAC 地址记录下来。方法有两种,一是打开一个命令提示符窗口并输入,}Y Szui8F
ipconfig/all 命令也可看到这个MAC 地址,这个窗口的内容如下图七所示(无线网卡的MACIn(A\ uh/jZp"m"Or
地址信息已高亮度显示)。
W#T h$|y\8m^o 图七:输入ipconfig/all 命令来发现MAC 地址
-T"VMuu$C 二是在Windows XP 中,可从“无线连接状态”窗口来得到这个MAC 地址,单击“支K)g lr'z)R)A~l
持”按钮,然后单击“详细信息”,这个MAC 地址就显示在窗口顶端的右边(如图八所示),当然,[X#z6z8]0w2r3y-B
不同的机器显示的名称可能不尽相同,另外的计算机显示的就可能如“物理地址”这一类的描
FFlH&I 述信息了。在这个窗口的信息,组成MAC 地址的字母和数字被短划线分隔,短划线的目的:S{$k+tV6a
只是使这些字符看得更清楚,但实际的MAC 地址是没有这些短划线的。
7zSB6W,{(Y(xxE#L:n 第 8 页 共 23 页&_TR+VEW kfi
图八:在网络连接详细信息中显示的MAC 地址|jVsAb8G
3、笔记本的设置
dq4iF#X5A a'e 首先,我们来准备破解WEP 密钥所需要的几个工具软件(Kismet、Airodump、
E/Ty3[/t fH)X Void11、Aireplay 和Aircrack),Kism
4hL/y m4by et:用来扫描整个区域内的WLAN,找到实验用的目标WLAN,收集相关数据,t`[Le!^2z
(SSID 值、频道、AP 及与之相连接的客户端的MAC 地址等);Airodump:对目标WLAN 进行y+V$~ b([87US
扫描并捕获其产生的数据包到一个文件中;Void11:从目标AP 中验证某台计算机,并强制这
s5vz2V#c 个客户端重新连接到到目标AP,以使其一个ARP 请求;Aireplay:接受这些ARP 请求并回送
,r)@/eXNB&~ b 到目标AP,以一个合法的客户端身份来截获这个ARP 请求; Aircrack:接受Airodump 生成的
-b3a7N^+_'Y%K] 捕获文件并从中提取WEP 密钥。
c[jnR 它们都是公开源代码的共享或自由软件,这些所有的工具都可以在一个被称为 K/dj"f&Bo{l,Y
“Auditor Security Collection LIVE CD” 的共享光盘上找到,这个光盘是一张可引导系统的光J8Oey+{F5DN7w
盘,可以引导一个经过改进过的Kanotix Linux,这个Linux 版本无需存取硬盘,在通过光盘n L/sCm1{ t
启动时直接安装到内存中就,它启动后可自动检测和配置多种无线网卡。在本文使用的
A)n-ez'w Auditor Security Collection LIVE CD 是最新版本,版本号为auditor-150405-04,下载地址
6gA5a(VHtgRu!M)lO 为[url=http://newremote-exploitorg/indexphp/Auditor_mirrors]http://newremote-exploitorg/indexphp/Auditor_mirrors[/url],下载的文件格式是CD 映像文
f4]G8O 件或ISO 文件,通过NERO(或其他的刻录软件)把它刻录下来,给Attack 和Sniff 机器各一
'QUqI R 张。
1rkuuO!n3CNe 第 9 页 共 23 页
1P8x]'Lzg;x 首先把无线网卡插入到笔记本中(如果机器内置有无线网卡就最好不过了),再把笔记 QAc4sI u_#y
本设置成从光盘引导,并把Auditor Security Collection CD 放入光驱中。从Auditor 引导菜,X d Ph Oqf
单中选择合适的屏幕分辨率后,Kanotix Linux 会被安装到内存中运行并出现Auditor 开始屏
(S8M:OZ)`k%`0W 幕(如图九所示)。-R"kU!NP$C6l
图九:Auditor 的开始屏幕johUd4Oz'O}E
在这个Auditor 系统中,两个最重要的图标是位于屏幕左下方的Programs 和
N-FU1n"LDJ C9c Command Line 图标,我们以后的许多操作基本上都是要通过它们来完成的。如图十所示。
Q:_;} k-F_4z W3{$@ 图十:Program 和Command Line 的位置
(t}k#c;q 在这里,开始做其他任何其他的事情之前,先要确认我们机器上的无线网卡能够通)s1X!a hjhMi_9B
过Auditor 的验证。单击Command Line 图标以打开一个命令行窗口,然后输入iwconfig 命6X6j;yn/g@
令,在Auditor 显示出的信息中,你会看到有关于“Wlan0”的信息,它是Auditor 为基于PRISM
P:\#M6Z-|-J 芯片的卡确定的一个名称,如果用来操作攻击的笔记本的屏幕显示如图十一所示的窗口,则"YRpCeC2PZ ^
表明Auditor 已检测到了无线网卡,现在就可以开始下一步工作了。对于另外一台笔记本,
t!y(Fy1t 也进行同样的步骤,重复这一操作。
f` C3]@a 第 10 页 共 23 页@H3wE pU
图十一:用iwconfig 命令检验无线网卡
#m `F]I4e4W4g%D/a,A 好,准备工作现在基本完成,在本文的下篇里,我们将开始实际的解决过程。
b&wP-NbK R 三、实战破解过程 pO'| j5S,|
1、用Kismet 进行网络探测8iT-vdWv,a1A
Kismet 是一个基于Linux 的无线网络扫描程序,这是一个相当方便的工具,通过测;Qfz!\ZX
量周围的无线信号来找到目标WLev,\)s`
AN。虽说Kismet 也可以捕获网络上的数据通信,但在还有其他更好的工具
TN"G8ro7\lA 使用(如Airodump),在这里我们只使用它来确认无线网卡是否正常工作和用来扫描无线网
bj:kz}kT 络,在下面的部分中将会换用不同的工具软件来真正地侦听和捕获网络上的数据通信。
l Tft O|2x 单击Programs 图标,然后是Auditor,再 Wireless,, 然后Scanner/Analyzer,
3Pi1r)}w 最后是 Kismet ,来运行Kismet 程序。如图十二所示。
-TeKw c qvn 第 11 页 共 23 页
H'Fx4N[5U qH w;i 图十二:运行Kismet
P(j9t%p-B9em 除扫描无线网络之外,Kismet 还可以捕获网络中的数据包到一个文件中以方便以后X q6]FdUQ
加以分析使用,因此Kismet 会询问用来存放捕获数据包的文件的位置,如我想把这些文件e,o{,J,^$D v
保存到rootdesktop 下,则单击“Desktop”,然后选择“OK”即可,如图十三所示。然后Kismet
0U"c%hJkC9w5De 然后会询问捕获文件的前缀名字,我们可以更改这个默认的名字,例如把它更改为“capture”w$hw3`%V8PWs{@(~
然后点击OK,这样Kismet 就会以capture 为文件名的开头,再在其后依次添加序号来保存R)n;}I`R-j
捕捉下来的数据包到不同的文件中。Yg B-D'U8H/EW-kw
图十三:在Kismet 中指定文件的存放位置
^+Z2I%Y O 第 12 页 共 23 页
a sV5xdp5bG 当Kismet 开始运行时,它将会显示这个区域内它找到的所有的无线局域网,“Name”
!oj'fZn 那一列中所显示出来的内容就是哪一个WLAN 中AP 的SSID 值,那当然开始设定的目标2mP0T}6w
WLAN 也应该包含中其中(Name 下值为starbucks 的那一行),在这一行中,CH 列的值(AP;`:J+qo-^Gz4H/N
所使用的频道)应该与开始所记下的相同。在窗口的最右边显示的信息是Kismet 发现的
+`RL YB+l5L!~;mH WLAN 的数目,已被捕捉下来了的数据包、已加密了的数据包的数目等等。如下图十四所示。9P'Ahy,U
如果Kismet 发现了许多相邻的Access Point,你应把这个实验环境搬得离这些AP 更远一些,
v&Qepx,C@DC 或者把与你网上相连接的任何高增益天线断开。
!I'PS qS1kgg$f 甚至当目标计算机已关闭时,Kismet 也正可从我们的目标AP 中检测到数据包,这是因
ue'T;U-WO+ 为目标AP 在不停地发出“beacons”,它将告之拥有无线网卡的计算机有一个AP 在此范围内,"ho"L7VDk D ~8qN
我们可以这样想3g,}!{'s T4oql
像,这台AP 宣布,“我的名字是XXXXX,请大家与我连接。”
rM5L/`w9W Rb 图十四:Kismet 显示的内容 w coO)g
默认的Kismet 是运行在“autofit”模式下的,它显示的内容杂乱无章的,我们可以通
l DB#CW 过排序把AP 按任何有意义有顺序来重新排列,按下“s”键到“Sort”菜单,在这儿可以按下某个
tg/d$hv~"} 字母来对搜寻到的AP 进行排序,如“f”键是按AP 名字的第一个字母来排序,而“c”键是按AP
7#J&Uyyc 使用的频道来进行排序,“l”是按时间来进行排序等等。 f UvUO
现在我们来查看一下目标WLAN 中AP 的详细信息,按下“s”键,然后再按下“c”键,
FgAb4H9R|$J 把整个AP 的列表用频道的方式来排列,使用光标键移动高亮条到表示目标AP 的SSID 上,l4}7YGB6M/Q
0条评论