Информационное письмо
KDC состоит из двух компонент: сервер аутентификации (англ. Authentication Server, сокр. AS
жүктеу/скачать 5,22 Mb.
|
ИБ и МЗИ УМКД 2022 (1)
- Бұл бет үшін навигация:
- Протоколы аутентификации для удалённого доступа
- Протокол аутентификации RADIUS
- Сервер RADIUS
| KDC состоит из двух компонент:
сервер аутентификации (англ. Authentication Server, сокр. AS); сервер выдачи разрешений (англ. Ticket Granting Server, сокр. TGS). Когда пользователь выполняет первичную аутентификацию, после успешного подтверждения его подлинности KDC выдаёт первичное удостоверение пользователя для доступа к сетевым ресурсам - TGT (Ticket Granting Ticket). В дальнейшем при обращении к отдельным сетевым ресурсам пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу - Service Ticket. Рис. 3. Схема работы протокола Kerberos Одним из преимуществ протокола Kerberos, обеспечивающих очень высокий уровень сетевой безопасности, является то, что во всех сетевых взаимодействиях в открытом виде не передаются ни пароли, ни хэши паролей. Все удостоверения являются зашифрованными пакетами данных. В качестве примера реализации протокола Kerberos следует отметить доменную аутентификацию пользователей в операционных системах компании Microsoft, начиная с Windows 2000. Протоколы аутентификации для удалённого доступа Часть протоколов сетевой аутентификации были разработаны специально для обеспечения удаленного доступа к информационным ресурсам посредством открытых каналов связи (к примеру, телефонные линии, Internet). Такими протоколами являются: PAP (Password Authentication Protocol); CHAP (Challenge Handshake Authentication Protocol); EAP (Extensible Authentication Protocol); RADIUS (Remote Authentication Dial-in User Service); TACACS (Terminal Access Controller Access Control System). В качестве примера кратко рассмотрим работу протокола RADIUS. Протокол аутентификации RADIUS Протокол аутентификации Remote Authentication Dial-in User Service (RADIUS)2 рассматривается как механизм аутентификации и авторизации удалённых пользователей в условиях распределённой сетевой инфраструктуры, предоставляющий централизованные услуги по проверке подлинности и учёту для служб удалённого доступа. В рамках стандарта выделяются следующие роли: Клиент RADIUS. Клиент RADIUS принимает от пользователей запросы на аутентификацию. Все принятые запросы переадресовываются серверу RADIUS для последующей аутентификации и авторизации. Как правило, в качестве клиента протокола RADIUS выступает сервер удалённого доступа. Сервер RADIUS. Основная задача сервера RADIUS заключается в централизованной обработке информации, предоставленной клиентами RADIUS. Один сервер способен обслуживать несколько клиентов RADIUS. Сервер осуществляет проверку подлинности пользователя и его полномочий. При этом в зависимости от реализации сервера RADIUS для проверки подлинности используются различные базы данных учётных записей. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|