CentOS6.5 基于AD域账号联动认证的Open***服务器配置（1）

look_w

前言：

        最近一直在研究Linux下基于AD联动认证服务器的配置（包括FTP服务器、OPEN***服务器、邮件服务器等），一方面降低公司成本，二方面提高信息化管理实现单点登录方便用户管理。下面就详细说一下Open***服务器的配置，可能您的环境可能和我的不一样的，所有我不能保证你配置以后能够正常使用，具体的根据自己的环境而言，有需要帮助的可以留言。
一、Open***简介

        Open***是一个用于创建虚拟专用网络加密通道的软件包，最早由James Yonan编写。Open***允许创建的***使用公开密钥、数字证书、或者用户名／密码来进行身份验证。

        它大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库。

        目前Open***能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows 2000/XP/Vista/7/8/8.1以及Android和iOS上运行，并包含了许多安全性的功能。它并不是一个基于Web的***软件，也不与IPsec及其他***软件包兼容。
二、原理

      Open***的技术核心是虚拟网卡，其次是SSL协议实现，由于SSL协议在其它的词条中介绍的比较清楚了，这里重点对虚拟网卡及其在Open***的中的工作机理进行介绍：

        虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如IE）向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是Open***能够跨平台一个很重要的理由。

        在Open***中，如果用户访问一个远程的虚拟地址（属于虚拟网卡配用的地址系列，区别于真实地址），则操作系统会通过路由机制将数据包（TUN模式）或数据帧（TAP模式）发送到虚拟网卡上，服务程序接收该数据并进行相应的处理后，通过SOCKET从外网上发提交去，远程服务程序通过SOCKET从外网上接收数据，并进行相应的处理后，发送给虚拟网卡，则应用软件可以接收到，完成了一个单向传输的过程，反之亦然。
三、加密

        Open***使用OpenSSL库来加密数据与控制信息。这意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。
四、身份验证

Open***提供了多种身份验证方式，用以确认连接双方的身份，包括：

    预享私钥
    第三方证书
    用户名／密码组合
            预享密钥最为简单，但同时它只能用于创建点对点的***；基于PKI的第三方证书提供了最完善的功能，但是需要额外维护一个PKI证书系统。Open***2.0后引入了用户名／口令组合的身份验证方式，它可以省略客户端证书，但是仍需要一份服务器证书用作加密。


五、功能与端口

        Open***所有的通信都基于一个单一的IP端口，默认且推荐使用UDP协议通讯，同时也支持TCP。IANA（Internet Assigned Numbers Authority）指定给Open***的官方端口为1194。Open*** 2.0以后版本每个进程可以同时管理数个并发的隧道。Open***使用通用网络协议（TCP与UDP）的特点使它成为IPsec等协议的理想替代，尤其是在ISP（Internet service provider）过滤某些特定***协议的情况下。

        Open***连接能通过大多数的代理服务器，并且能够在NAT的环境中很好地工作。

         服务端具有向客户端“推送”某些网络配置信息的功能，这些信息包括：IP地址、路由设置等。

        Open***提供了两种虚拟网络接口：通用Tun/Tap驱动，通过它们，可以创建三层IP隧道，或者虚拟二层以太网，后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。
六、安全

        Open***与生俱来便具备了许多安全特性：它在用户空间运行，无须对内核及网络协议栈作修改；初始完毕后以chroot方式运行，放弃root权限；使用mlockall以防止敏感数据交换到磁盘。

        Open***通过PKCS#11支持硬件加密标识，如智能卡。


七、对比

        Open***，能实现二／三层的基于隧道的***。

stunnel，使用SSL向任何单一端口的TCP服务提供安全保护。
八、Open***实现LDAP认证方法

        网上关于Open***服务器部署的部署太多了，但都是相对来说比较旧或比较简单的一些方法，如果您需要实现与公司AD域服务器进行联动认证，那您可能需要继续往下看。Open***实现LDAP认证的方法很多，用户可以根据自己的需求来选择，下面我们简单说一下：

1：Open***-pam-ldap

通过pam的ldap验证，来实现，open***是支持pam的验证的。通过pam，您可以实现mysql或者ldap的验证，这个pam验证，我们在Vsftpd的部署的时候可以采用这种方法实现，实现方法简单可靠。

2：Open***-Radius-ldap

通过Radius，也是可以实现ldap的验证，不过您需要在部署Radius服务器，通过它可以实现mysql或者ldap的验证。

3：Open***-auth-ldap

这应该是最简单的方式，直接通过一个插件就实现Open*** 采用ldap验证，在第一次配置的时候您可能需要用心去研究一下。