Библиотека сайта rus-linux.net
Сетевая аутенфикация
Обзор
Имеется ряд методов совместно использовать регистрационные данные. С ростом популярности сетей, пользователи уходят далеко за пределы своей LAN, так что данная задача становится все более общей.
NIS / NIS+
NIS и NIS+ (формально известны как ⌠yellow pages■) сокращение от Network Information Service. По существу NIS и NIS+ обеспечивают средства, чтобы распределить файлы паролей, файл group, и другие файлы конфигурации по машинам в сети, обеспечивая синхронизацию паролей (среди других услуг). NIS+ по существу NIS с несколькими расширениями (обычно связанными с защитой).
Чтобы использовать NIS, надо установить мастер-сервер NIS, который будет хранить записи и позволять их менять. Он может распределять записи на вторичные NIS-машины, которые содержат доступную только для чтения копию записей (но они могут быть переведены в режим чтение-запись, если что-то пошло не так). Клиентура NIS-сети запрашивает части информации и копирует их непосредственно в свои файлы конфигурации (типа /etc/passwd), таким образом делая их доступными в местном масштабе. Используя NIS Вы можете обеспечивать несколько тысяч автоматизированных рабочих мест и серверов с идентичными наборами usernames, информации о пользователях, паролей и т.п. при уменьшении кошмаров администрирования.
Однако это часть проблемы: в совместном использовании этой информации Вы делаете ее доступной для нападавших. NIS+ пытается ее решить, но NIS+ чрезвычайный кошмар при установке. NIS+ использует безопасный RPC, который может использовать одиночное DES шифрование (слабовато, конечно, но все же лучше, чем ничего). Полагаться на него особо не стоит.
Альтернативная стратегия должна использовать некоторый сорт VPN (подобно FreeS/WAN, который, кажется, решает много проблем) и шифровать данные прежде, чем они попадут в сеть. Имеется NIS / NIS+ HOWTO: http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html, и O▓Reilly имеет превосходную книгу по предмету, "Managing NFS and NIS". NIS / NIS+ выполняется над RPC, который использует порт 111, tcp и udp. Это определенно должно быть ограничено пределами Вашей сети, но полностью защитить NIS / NIS+, видимо, нельзя. Так как NIS и NIS+ RPC-основанные услуги, они имеют тенденцию использовать высокие номера портов (то есть, выше 1024) несколько произвольным способом, делая firewalling этого довольно трудным. Самые лучшие решения состоят в том, чтобы поместить сервер(а) NIS во внутреннюю сеть, которая блокирована полностью. Имеется также превосходное руководство по безопасности NIS на http://www.eng.auburn.edu/users/doug/nis.html.
ipfwadm -I -a accept -P udp -S 10.0.0.0/8 -D 0.0.0.0/0 111 ipfwadm -I -a accept -P udp -S some.trusted.host -D 0.0.0.0/0 111 ipfwadm -I -a deny -P udp -S 0.0.0.0/0 -D 0.0.0.0/0 111
или
ipchains -A input -p udp -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 111 ipchains -A input -p udp -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 111 ipchains -A input -p udp -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 111
Kerberos
Kerberos современная сетевая опознавательная система, основанная на идеи вручения пользователям билетов, как только они подтвердили подлинность на сервере Kerberos (подобно использованию маркеров в NT). Kerberos доступен для скачивания на http://web.mit.edu/kerberos/www. Kerberos FAQ есть на http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html. Kerberos более безопасен и масштабируем, чем NIS / NIS+. Керберизированные (Kerberizing) программы типа telnet, imap и pop найти не так просто, но можно, а вот Windows-клиенты с поддержкой Kerberos найти трудно.
Radius
Radius часто используемый протокол, чтобы опознать заходящих по модему пользователей, и другие типы сетевого доступа.
ICRADIUS
ftp://ftp.cheapnet.net/pub/icradius
Livingston Radius
http://www.livingston.com/tech/docs/radius
ftp://ftp.livingston.com/pub/le/radius
Ascend RADIUSd SQL патч
http://www.mindrot.org/code/radiusd-sql.php3
perlradius
http://www.iinet.net.au/~michael/radius.html
Сервер Cistron RADIUS
http://www.miquels.cistron.nl/radius
Written by Kurt Seifried