目前,越来越多的企业希望通过建立企业级的单点登录系统和安全防护系统,为企业用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问与集成平台;通过实施单点登录功能,用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的安全性和稳定性。在上面所叙述的研究背景下,本文在对Linux操作系统安全现状进行了研究后指出:一方面,Linux与其他操作系统互联以实现统一认证和单点登录等问题慢慢地被人们所重视;另一方面,Linux采用的传统的自主访问控制机制(DAC)不能满足对访问控制进行集中管理这一要求,急需引入一种新的访问控制机制。 PAM(Pluggable Authentication Module,可插拔认证模块)机制采用模块化设计,使得开发人员可以轻易地在应用程序中插入新的认证技术。PAM将应用程序与具体的认证机制分离,当系统改变认证机制时,不再需要修改采用认证机制的应用程序,而只要由管理员配置应用程序的认证服务模块,极大地提高了认证机制的通用性与灵活性。用户可以加载第三方PAM认证服务模块以实现身份认证机制的替换。本文详细描述了如何基于PAM机制设计实现第三方PAM认证模块以实现Linux单点登录功能。 另外,Linux所采用的传统自主访问控制机制(DAC)有明显的缺点,比如访问粒度太粗等。Linux安全模块(LSM)本身不提供任何具体的安全策略,而是提供了一个通用的访问控制框架给安全模块,由安全模块来实现具体的安全策略。LSM通过可加载内核模块的方法,为Linux系统引入了新的访问控制机制。该方法不会在安全性方面给Linux系统带来明显的损失,也不会带来额外的系统开销。本文详细描述了如何设计实现一种基于角色的访问控制机制,以实现访问控制的集中管理。