Опубликован: 19.10.2005 | Уровень: специалист | Доступ: платный | ВУЗ: Европейский Университет в Санкт-Петербурге
Лекция 10:

Аутентификация в сети. PAM

< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Аннотация: Лекция связана с более новым, гибким и универсальным стандартом аутентификации PAM, который легко использовать в гетерогенных сетях, в том числе и для общей аутентификации пользователей сети Windows- и UNIX-компьютеров.

Прежде чем говорить об аутентификации, следовало бы определиться с тем, что это такое. Слово " аутентификация " происходит от слова "аутентичность", что означает подлинность, соответствие подлинному, истинному. Иногда "аутентичность" расшифровывают как "соответствие самому себе" (если вы философ, такая формулировка может вам понравиться).

Под аутентификацией в компьютерных сетях понимают процедуру, позволяющую выяснить, является ли субъект тем, за кого себя выдает. Если вы обращаетесь к сервису, предоставляемому не всем, вы должны доказать, что имеете на это право. Сообщив свое имя и пароль, вы идентифицируете себя и так даете серверу понять, что имеете право на сервис, который он предоставляет. Обычно аутентификация состоит именно в сообщении имени и пароля, но есть и более современные технологии аутентификации - с помощью электронных ключей, приборов распознавания образа сетчатки глаза и т.п.

За процедурой аутентификации часто следует авторизация - предоставление пользователю определенных прав доступа к ресурсу. Разным пользователям (и разным группам пользователей) назначаются разные права.

Распространенные схемы аутентификации

В системах UNIX, как правило, выполняется стандартная аутентификация, с использованием файла паролей (/etc/passwd, /etc/shadow). Для централизованной аутентификации на нескольких компьютерах в сети были разработаны разные схемы, связанные с централизованным хранением базы данных пользователей и паролей.

Конечно, надо вспомнить NIS и NIS+ (см. лекцию 19), если мы говорим о централизации. Кроме того, аутентификация может происходить по протоколу TACACS (широко распространен в серверах удаленного доступа Cisco) или RADIUS (в серверах удаленного доступа Nortel). Бывают и другие возможности аутентификации. Единого общепринятого механизма, который давал бы общий интерфейс аутентификации для любой сетевой службы и любого способа аутентификации, пока не существует, хотя с течением времени появляются новые стандарты, претендующие на эту роль.

Структура подсистемы PAM - присоединяемых модулей аутентификации

Новая модель аутентификации - присоединяемые модули аутентификации ( PAM, Pluggable Authentication Modules) - была предложена в 1995 году сотрудниками SunSoft Самаром (V. Samar) и Шемерсом (R. Schemers). Эта модель предполагала, что любое приложение будет работать со стандартным интерфейсом аутентификации, а механизм аутентификации сможет быть различным - для аутентификации в разных базах данных пользователей (NIS, TACACS, файлах /etc/passwd и /etc/shadow, контроллерах домена Microsoft Windows и т.п.). Более того, предполагалось, что системный администратор должен иметь возможность выбрать, какой вид аутентификации будет использоваться в системе по умолчанию и/или для каждой из служб в отдельности: от ввода текстового пароля до биометрической проверки и использования смарт-карт.

Возможность индивидуальной настройки аутентификации для каждого из приложений, требующих ее, - это большой шаг вперед к гибкой настройке системы. Например, все базовые службы можно аутентифицировать по умолчанию, через ввод пароля, а что-то нестандартное или особо секретное (доступ к настройкам фильтра пакетов, например) - специальным образом.

В PAM с каждым приложением можно связать не один, а несколько механизмов аутентификации, например, потребовать от пользователей аутентифицироваться и через Kerberos, и через RSA.

Общий интерфейс системы аутентификации для всех приложений означает, что системные подпрограммы, полагающиеся на систему аутентификации, не зависят от изменений этой системы.

Архитектура PAM - модульная, и позволяет добавить любой модуль с поддержкой какого угодно алгоритма аутентификации, но при этом для обратной совместимости PAM API поддерживает ранее существовавшие вызовы подпрограмм аутентификации.

Добавление PAM в Solaris не означает, что системный администратор обязан специальным образом настраивать систему аутентификации, PAM лишь предоставляет такую возможность. Если нет желания переделывать настройки по умолчанию, то для пользователей все останется, как было раньше. А системный администратор будет помнить, что каталог /etc/pam.d, в котором хранятся настройки PAM, трогать не следует.

< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Алексей Антипин
Алексей Антипин
Россия, Томск, ТУСУР, 2010
Игорь Тарасенко
Игорь Тарасенко
Россия