§2 Lokal tarmoqlarning dasturiy ta’minoti haqida
Autentifikatsiya va avtorizatsiya. Kerberos tizimi.
Kerberos yirik tarmoqlarda autentifikatsiya va avtorizatsiya vazifalarini markazlashtirilgan tarzda hal qilish uchun mo'ljallangan tarmoq xizmati. U ko'plab mashhur operatsion tizimlar muhitida ishlashi mumkin. Bu juda murakkab tizimning asosi bir necha oddiy tamoyillardan tashkil topgan:
Kerberos xavfsizlik tizimidan foydalanadigan tarmoqlarda mijozlar va tarmoq serverlari o'rtasidagi barcha autentifikatsiyalash jarayonlari, autentifikatsiya jarayonining har ikki tomonidan ishonchli vositachi orqali amalga oshiriladi va nazoratchi Kerberos tizimining o'zi hisoblanadi.
Kerberos tizimida, mijoz chaqirgan har bir xizmatga kirish uchun uning haqiqiyligini isbotlashi kerak.
Tarmoqda joylashgan barcha ma'lumotlar almashinuvi shifrlash algoritmi yordamida xavfsiz amalga oshiriladi.
Tarmoq xizmatlari Kerberos mijoz-server arxitekturasida qurilgan bo'lib, u eng murakkab tarmoqlarda ishlaydi. Kerberos mijozi tarmoqdagi barcha kompyuterlarda tarmoq xizmatiga ulanishi mumkin. Bunday hollarda Kerberos mijozi foydalanuvchi nomidan Kerberos serveriga murojaat qiladi va Kerberos tizimining vazifalarini amalga oshirish uchun zarur bo'lgan suhbatni saqlaydi.
Shunday qilib, Kerberos tizimida quyidagi ishtirokchilar mavjud: Kerberos server, Kerberos mijozi va resurs serverlari. Kerberos mijozlari tarmoq resurslariga - fayllar, ilovalar, printerlar va boshqalarga kirishga harakat qilmoqda. Ushbu ruxsat birinchi navbatda faqat yuridik foydalanuvchilarga berilishi mumkin, ikkinchidan, foydalanuvchi tegishli resurs serverining avtorizatsiya xizmatlari tomonidan aniqlangan vakolatga ega bo'lsa - fayl-server, dastur-server, bosib chiqarish serveri. Biroq, Kerberos tizimida, manba serverlari "to'g'ridan-to'g'ri" mijozlar so'rovlarini qabul qilishlariga ruxsat berilmaydi, faqat Kerberos serverining ruxsatisiz mijozlar so'rovini ko'rib chiqishlari mumkin. Shunday qilib, mijozning Kerberos tizimidagi resursga bo'lgan yo'llari uch bosqichdan iborat:
Mijozning qonuniyligini aniqlash, tarmoqqa mantiqiy kirish, resursga kirish jarayonini davom ettirish uchun ruxsat olish.
Resurs serveriga kirish uchun ruxsat olish.
Resursga kirish uchun ruxsat olish.
Kerberos tizimining zaifliklari orasida tizimning barcha maxfiy kalitlarini markazlashtirilgan holda saqlashda. Xavfsizlik tizimidagi barcha ma'lumotlarning konsentratsiyalanganligi sababli, Kerberos serveriga muvaffaqiyatli hujum, butun tarmoqning axborot muhofazasi qulashi sabab bo'ladi. Shu bilan bir qatorda yechim, maxfiy kalitlarni tarqatilgan saqlash bilan xarakterlangan, bog'langan kalitlarga ega bo'lgan shifrlash algoritmlaridan foydalanishga asoslangan tizim bo'lib xizmat qiladi. Kerberos tizimining yana bir zaifligi Kerberos orqali olingan ushbu dasturlarning manba kodlari mos ravishda o'zgartirilishi. Bunday o'zgarishga dasturning "kerberizatsiyasi" deyiladi. Ba'zi sotuvchilar o'zlarining "kerberli" versiyalarini sotadilar. Biroq bunday versiya va manba kodi bo'lmasa, Kerberos bunday dasturga kirishni ta'minlay olmaydi.
Do'stlaringiz bilan baham: |