Поддержи Openmeetings

суббота, 29 марта 2014 г.

Идентификация и проверка подлинности субъектов доступа (RHEL Identity Management)

Технология многопользовательского доступа, требующего разграничения прав, появилась в эпоху мейнфреймов. В те времена все основные вычислительные функции, включая управление доступом к информационным ресурсам, были сосредоточены на уровне мейнфрейма. Однако в начале 1990–х с распространением персональных компьютеров и клиент-серверных приложений ситуация изменилась. Централизованная обработка данных стала более распределённой. Возникла потребность, чтобы доступом к ресурсам, расположенным теперь уже на нескольких машинах, управляли самые разные пользователи, подключающиеся к сети с различных компьютеров. Иначе говоря, между сущностями «ресурс», «пользователь» и «рабочая станция» появились связи «много-ко-многим» (см. Рисунок 1), что серьёзно усложнило управление.

Рисунок 1. Управление доступом в современной среде

В середине 1990–х компания Microsoft в рамках Windows NT предложила технологию управления доступом под названием «контроллер домена». Контроллер домена — это сервер, обеспечивающий централизованную идентификацию и авторизацию пользователей и компьютеров в домене Windows. В начале 2000–х для хранения учётных данных Microsoft ввела в действие службу каталогов Active Directory, благодаря которой технология контроллера доменов претерпела значительные изменения и в этом виде — без какой–либо значительной модернизации — дошла до наших дней.

В среде Linux до недавнего времени не было технологии централизованного управления доступом, которая бы решала задачу в комплексе. Вместо этого применялись различные протоколы и приложения, решающие частные задачи. Одни средства (например, NIS или Kerberos) определяли домены, другие — обеспечивали хранение идентификационных данных, третьи (например, Sudo) — задавали права доступа. Эти приложения с трудом взаимодействовали друг с другом, и каждое из них нужно было администрировать отдельно и локально. Например, чтобы задать единые политики доступа, нужно было вручную синхронизировать конфигурационные файлы по всем серверам сети или писать для этого своё собственное приложение. А это — затраты и ещё раз затраты.

Чтобы сделать управление доступом в большой корпоративной сети простым, понятным, а главное — недорогим, разработчики компании Red Hat создали набор средств, объединённых под названием Red Hat Enterprise Linux Identity Management (IdM). Благодаря IdM управление всеми субъектами и объектами доступа теперь происходит в одном месте с помощью одних и тех же программных средств. Пользователи, компьютеры, информационные сервисы и политики доступа определяются единообразно. Новые рабочие станции без дополнительных хлопот получают доступ к заданным ресурсам путём включения в соответствующий домен. Пользователю системы достаточно авторизоваться один раз, чтобы получить доступ ко всем сервисам, на которые он имеет право.

IdM обеспечивает идентификацию и проверку подлинности различных субъектов доступа, включая

  • пользователей;
  • компьютеры и подключаемые к сети устройства;
  • информационные сервисы.

С технической точки зрения IdM решает три основные задачи.

  1. Создаёт домен на основе и под контролем Linux. Это означает, что сервер Identity Management его клиенты могут быть только компьютерами на Linux или Unix. Несмотря на то, что для интеграции с серверами Windows IdM может синхронизироваться с доменом Active Directory, IdM не является средством администрирования для Windows. У него даже нет Windows-клиента.
  2. Обеспечивает централизованное хранение идентификационной информации и политик. В этом качестве IdM является аналогом Active Directory.
  3. Связывает существующие в среде Linux протоколы и приложения. Несмотря на то, что у IdM есть свои процессы и конфигурация, в его основе лежат хорошо известные технологии Linux, например, Kerberos или 389 Directory Server. В этом смысле IdM не даёт администраторам ничего нового, но упрощает и улучшает их текущую работу.

В части архитектуры IdM представляет собой многокомпонентный сервис (см. Рисунок 2).

Рисунок 2. Компоненты Red Hat Identification Management

Основными компонентами IdM являются:

  • front-end сервис аутентификации и авторизации, который по сути является контроллером домена; для аутентификации применяется KDC (Key Distribution Center - Центр распространения ключей) на базе протокола Kerberos;
  • back-end сервис каталогов, где хранится информация о субъектах и объектах доступа, а также настройки домена.

Все остальные компоненты играют обслуживающую роль. Служба доменных имён (Domain Name Service - DNS) находит компьютеры в сети по имени и обеспечивает соединение участников домена между собой. Сервис времени (Network Time Protocol - NTP) применяется для синхронизации машинных часов всех участников домена, благодаря чему логирование и различные операции на разных серверах выполняются предсказуемо. Сервис сертификатов обеспечивает сервер аутентификации необходимыми сертификатами. И все эти сервисы работают слаженно под контролем управляющей среды IdM.

Рассмотрим ситуацию, когда каждый из этих сервисов размещается на отдельном сервере. До появления IdM администратору пришлось бы настраивать сервер LDAP, сервер KDC, сервер DNS и т. д. по отдельности, используя самые разные локальные инструменты. В IdM же разработан единый набор инструментов, который даёт возможность администратору управлять всеми параметрами домена централизованно как с помощью консоли, так и через web-интерфейс.

Использованы материалы Red Hat Enterprise Linux 6 Identity Management Guide.

Комментариев нет :

Отправить комментарий