Linux metodi di autenticazione

February 17

Ci sono decine di autenticazione, autorizzazione e accounting (AAA) protocolli per Linux, ognuno seguendo il proprio set di regole su come gestire i dati degli utenti. Due dei giocatori più altamente implementato sono Kerberos e diametro, ciascuno con i suoi vantaggi e svantaggi.

Kerberos Informazioni

Kerberos è stato sviluppato dal Massachusetts Institute of Technology ed è fornito gratuitamente. Il metodo utilizzato da Kerberos consente l'autenticazione reciproca, ovvero la possibilità per il client e il server per verificare le rispettive identità prima di continuare. Kerberos funziona off crittografia a chiave simmetrica in cui ci deve essere un segreto condiviso tra due parti di comunicare.

Semplificata, il modo in cui funziona Kerberos comporta l'uso di una terza parte fidata, etichettato il centro di distribuzione delle chiavi. Questo è diviso in due parti: il server di autenticazione e il server di concessione dei ticket. Ogni nodo di una rete ha una chiave segreta che è noto solo al centro di distribuzione chiave e quel nodo. Quando due nodi vogliono interagire in rete, ottengono una chiave condivisa temporanea per comunicare in modo sicuro.

Mentre questo sistema suona sicuro, ci sono svantaggi. Se il server Kerberos è giù, allora nessuno può accedere alla rete. Inoltre, dal momento che tutti i tasti vengono memorizzati sul terza parte fidata, se che una macchina viene compromessa poi così fa tutto il resto.

Kerberos ha visto un sacco di successo. La maggior parte delle distribuzioni Linux venire con Kerberos in bundle nel sistema operativo.

Implementazione Kerberos

Per installare Kerberos, assicuratevi di avere una macchina server Kerberos. Questa sarà la macchina attraverso la quale tutto il tuo traffico Kerberos viene eseguito, in modo da controllare due volte la sua sicurezza per confermare che è la macchina più strettamente configurata sulla rete.

Mentre non vi è la possibilità di installare tutto il codice Kerberos da soli, è altamente raccomandato che si acquista qualcosa come Kerbnet da Cygnus Solutions o utilizzare una società come CyberSafe di fornire il necessario Kerberos implementa. Questi pacchetti software vengono con l'ultima versione del codice pre-compilato e con diversi binari per voi su cui lavorare. Essi aiutano gli amministratori di sistema e professionisti non tecnici accelerare il processo di attuazione Kerberos. Anche tenere a mente che la maggior parte dei prodotti di networking Cisco hanno Kerberos implementato già.

Se si desidera avvicinarsi al codice da soli, è possibile scaricarlo dal sito del MIT e seguire le istruzioni dettagliate sulla configurazione prima di effettuare e installare i programmi compilati. Pur seguendo questa procedura vi aiuterà a imparare di più su Kerberos di quanto si sarebbe altrimenti, sarà anche il processo più in termini di tempo e confusa se non avete mai lavorato con qualcosa in questo formato RAW su un sistema Unix prima.

Informazioni diametro

Il diametro è il successore di Radius, TACACS + e altri metodi AAA basato sulla stessa origine TACACS. A differenza di Kerberos, che è stato progettato con un modello client-server in mente, diametro è costruito su un metodo peer-to-peer. Uno dei miglioramenti di sicurezza principali del diametro è che non è più utilizza UDP (un veloce ma insicura tipo di pacchetto), come Raggio, ma si basa esclusivamente sulla TCP e SCTP (due opzioni più sicure per il trasferimento dati).

Diametro è stato annunciato come la prossima generazione di protocolli AAA. I suoi miglioramenti della sicurezza oltre Raggio lo rendono superiore a qualsiasi dei suoi predecessori. Dove Raggio ha avuto problemi con l'affidabilità e scalabilità, oltre ad essere in grado di gestire l'accesso remoto, diametro consente a un singolo server di gestire la maggior parte del lavoro e viene fornito con la possibilità di utilizzare le estensioni per espandere le capacità del protocollo di là della sua costruzione originale.

Diametro Implementazione

Il modo più semplice per implementare Diametro del sistema è quello di utilizzare OpenDiamater, un libero, strumento open-source per coloro che desiderano sperimentare con il protocollo. Ottenere il codice sorgente è relativamente facile in quanto ha una pagina di SourceForge.net con tutti i dati necessari. La documentazione, tuttavia, è più difficile da trovare. I passi sono, per fortuna, piuttosto semplice.

In primo luogo, installare il Boost e ACE librerie in quanto sono i requisiti per OpenDiameter al lavoro. Spinta si possono trovare nella maggior parte dei gestori di pacchetti Linux, mentre ACE deve essere installato dalla sorgente. Dopo di che, impostare le variabili di ambiente necessarie per ogni prima di scaricare il sorgente di OpenDiameter e la configurazione, realizzazione e installazione sul vostro sistema. Da qui seguire la guida per eseguire i client ei server di prova per il sistema per assicurarsi che tutto funzioni correttamente.