Для обеспечения безопасности в сети наиболее популярная из всех систем, базирующихся на серверах, является система Kerberos, разработанная в Массачусетском технологическом институте. Хотя она и распространяется свободно, сетевые администраторы, которым нужны некоторые дополнительные функции, стараются приобрести коммерческие версии Kerberos, поставляемые Cybersafe или Quadritek Systems. Kerberos является самой известной, но не единственной такой системой Некоторые производители, например, IBM и Cybersafe, поставляют системы на базе Kerberos. Компания ICL Enterprises работает с системой совершенно другой архитектуры - Sesame.
Архитектура клиент-сервер
Kerberos основан на аутентификационном сервисе, реализуемом третьей стороной-доверителем". Отношение доверия в данном случае означают, что все сетевые клиенты и все серверы полагаются на Kerberos, который выполняет для них процедуры взаимной аутентификации. Другими словами Kerberos является арбитром в вопросах безопасности сети. Kerberos требует, чтобы пользователь доказал свою идентичность для каждого сервиса, который он вызывает. А может потребоваться, чтобы сервер доказал свою идентичность для клиента.
Для минимизации издержек, связанных с дополнительной работой, Kerberos использует распределенную архитектуру клиент-сервер. Клиент системы Kerberos инициирует все секретные транзакции от лица пользователя. На каждой рабочей станции сети должно работать клиентское ПО Kerberos.
Kerberos-сервер состоит из двух частей: сервера аутентификации, который проверяет идентичность объекта, и сервера квитанций, который дает клиентам разрешение на доступ к различным серверам и приложениям сети. Kerberos-сервер может работать на любом узле сети, как на выделенной машине, так и разделяя ее с другими приложениями.
Архитектура клиент-сервер позволяет Kerberos работать в самых сложных сетях. Среда Kerberos, в которую входят Kerberos-сервер, некоторое число Kerberos-клиентов и некоторое число приложений, а также файл- и принт-серверов - требует выполнения только двух основных условий для обеспечения полной секретности:
• аутентификационный сервер должен хранить в своей базе данных идентификаторы и пароли всех пользователей сети,
• аутентификационный сервер должен разделять секретный ключ с каждым сервером сети, и все серверы должны быть зарегистрированы в базе данных аутентификационного сервера.
Среда, которая удовлетворяет этим двум условиям, является Kerberos-областью. Обычно сети клиентов и серверов, относящиеся к разным организационным единицам, определяются как различные Kerberos-области. Однако поскольку Kerberos-серверы могут образовывать связи через сеть, пользователи из одной области могут иметь доступ (при наличии соответствующих привилегий) к серверам из другой области.
Аутентификация в Kerberos
Kerberos состоит из нескольких компонентов, которые выполняют разные функции.
Аутентификационный сервер Kerberos хранит пароли всех пользователей сети в централизованной базе данных. Пользователи (клиенты Kerberos) должны логически войти в аутентификационный Kerberos-сервер для подтверждения идентичности прежде, чем они сделают попытку доступа к любому другому серверу сети. Если аутентификационный сервер проверил идентичность пользователя, то клиент может передать запрос на доступ к другому серверу. При необходимости аутентификационный сервер передает подтверждение безопасности серверам или другим сетевым устройствам, к которым клиент желает получить доступ. Только после того, как эти устройства получат подтверждение от аутентификационного сервера, они могут без опасения принять запрос от клиента на выполнение какой-либо работы.
Аутентификационный сервер разделяет уникальный секретный ключ с каждым сервером сети. Эти ключи распределяются между серверами сети физическим способом или каким-либо иным секретным способом при инсталляции системы Kerberos. Когда аутентификационный сервер посылает подтверждающее сообщение серверу, то он шифрует его, так что только этот сервер сможет расшифровать его с помощью своего уникального ключа. Кеrberos использует алгоритм DES для генерации ключей и шифрации сообщений.
Клиент Kerberos посылает аутентификационному серверу идентификатор пользователя и запрос на то, что известно как квитанция на получение квитанции доступа. Аутентификационный сервер находит в своей базе данных пароль пользователя и отвечает посылкой квитанции на получение квитанций доступа и одноразового ключа для шифрации, известного как ключ сессии. Квитанция на получение квитанции доступа будет использоваться пользователем для доступа к серверу квитанций доступа, который является другим важным элементом Kerberos-сервера. Ключ сессии будет использоваться при дополнительной шифрации и в процедурах аутентификации в течение пользовательской сессии. Как квитанция на получение квитанций доступа, так и ключ сессии шифруются с помощью пользовательского пароля.
Когда такое сообщение поступает на клиентскую машину, то клиентский код Kerberos просит пользователя ввести свой пароль. Когда пользователь вводит пароль, то Kerberos-клиент пробует с помощью него расшифровать поступившее сообщение. Если пароль верен, то квитанция на получение квитанций доступа и ключ сессии благополучно дешифрируются. Заметим, что аутентификационный сервер идентифицирует пользователя без передачи пароля по сети.
Сервер квитанций доступа
Kerberos не требует, чтобы пользователь делал логический вход и получал новую квитанцию на получение квитанций от аутентификационного сервера всякий раз, когда его нужно получить доступ к новому серверу или новому устройству сети. Такие запросы на доступ обрабатывает другой сервер Kerberos-сервер квитанций доступа. Квитанция на получение квитанций доступа, данная аутентификационным сервером, разрешает клиенту получить доступ к серверу квитанций доступа, который, в свою очередь, дает клиенту квитанцию на доступ к какому-либо ресурсу сети - серверу, сервису или устройству.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.