Информационное письмо
жүктеу/скачать 5,22 Mb.
|
ИБ и МЗИ УМКД 2022 (1)
- Бұл бет үшін навигация:
- Internet Authentication Service, IAS
- Авторизация – модели разграничения доступа
- Discretionary access control (дискреционная модель разграничения доступа)
| Посредник RADIUS. Взаимодействие клиентов и серверов RADIUS осуществляется посредством специальных сообщений. В распределённых сетях клиент и сервер RADIUS могут быть разделены различными сетевыми устройствами (такими, например, как маршрутизатор). Под посредником RADIUS понимается сетевое устройство, способное осуществлять перенаправление сообщений протокола RADIUS.
Поддержка протокола RADIUS реализована на многих современных платформах, что позволяет использовать его в межплатформенных решениях. В качестве примера сервера и посредника RADIUS можно привести реализованную в Windows Server 2003 службу проверки подлинности в Интернете (Internet Authentication Service, IAS). Эта служба позиционируется как механизм централизованной аутентификации и авторизации пользователей, использующих различные способы подключений к сети. Служба IAS интегрирована с другими сетевыми службами Windows Server 2003, такими, как служба маршрутизации и удалённого доступа и служба каталога Active Directory. Авторизация – модели разграничения доступа Для более подробного изучения механизмов авторизации рассмотрим следующие модели разграничения доступа: Discretionary access control, DAC Mandatory access control, MAC Role-based access control, RBAC Attribute-based access control, ABAC Гибридные модели Discretionary access control (дискреционная модель разграничения доступа) Избирательное управление доступом Для каждой пары субъект-объект задаётся перечисление допустимых разрешений (Например read, write, execute) Часто объект имеет привязанного субъекта-владельца. Владелец может устанавливать разрешения для других субъектов. Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект - объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта к данному ресурсу (объекту). Существуют два подхода к построению дискреционного управления доступом: Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту. Система имеет одного выделенного субъекта – суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы. Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|