Аутентификация с использованием электронных ключей в Red Hat Enterprise Linux

Аутентификация на основе аппаратных ключей представляет собой более удобный и безопасный способ подключения к информационным ресурсам по сравнению с аутентификацией по логину и паролю. В этой статье мы познакомимся с технологиями аутентификации на основе смарт-карт, а также поговорим о централизованном управлении смарт-картами и другими типами ключевых носителей в корпоративной среде, построенной на базе Red Hat Enterprise Linux (RHEL).

Важной возможностью решения Red Hat является технология единого входа (сквозная аутентификация, single sign-on) — пользователь, воспользовавшийся аппаратным ключом, получает авторизованный доступ не только данным и возможностям своей локальной рабочей станции, например, к возможности разблокировать сеанс работы, но и к сетевым ресурсам, базам данных, бизнес-приложениям в рамках корпоративной сети.

Сквозная аутентификация

Современные корпоративные пользователи применяют в своей работе большое количество приложений и сервисов, для каждого из которых необходима авторизация. Обслуживание многочисленных паролей, необходимость ввода пароля при каждом входе на тот или иной ресурс доставляют серьёзные хлопоты пользователям и администраторам. Для решения данной проблемы применяется технология единого входа (сквозная аутентификация, single sign-on, SSO), которая позволяет использовать единый метод аутентификации для всех сетевых ресурсов.

Red Hat Enterprise Linux 6 поддерживает технологию SSO для нескольких типов ресурсов, включая вход на рабочую станцию, разблокировку экрана, получение доступа к web-страницам с помощью Mozilla Firefox и отправку зашифрованной S/MIME почты с помощью Mozilla Thunderbird.

Одним из основополагающих принципов создания безопасной среды является корректное ограничение прав доступа для каждого пользователя, подключённого к сети. Если доступ разрешён, то пользователь может авторизоваться в системе и система подтвердит его идентификацию. Эффективная реализация SSO предусматривает качественную организацию проверки подлинности субъектов доступа, и у RHEL для этого есть два механизма:

• аутентификация на основе протокола Kerberos,
• аутентификация с использованием электронных ключей.

Kerberos

Многие информационные системы используют протокол Kerberos, которая обеспечивает аутентификацию пользователей с помощью учётных данных с ограниченным сроком действия. Выглядит это так:

• пользователь проходит процедуру аутентификации, например, вводит верный пароль, и, возможно, использует аппаратный ключ;
• в случае успеха аутентификации система создаёт для этого пользователя маркер безопасности — своего рода абонементный билет на вход в течение определенного времени.

С помощью такого билета пользователь может авторизоваться множество раз во всех доступных ему сервисах. Например, он может зайти по маркеру безопасности как в почту, так и на зашифрованный web-сайт, пройдя процедуру ввода своих учётных данных всего лишь раз. В зависимости от требований к защищенности системы время жизни маркера безопасности можно настраивать заставляя пользователя время от времени проходить процедуру аутентификации заново и получать новый билет.

Электронные ключи

Другая технология аутентификации, которая может использоваться в дополнение к Kerberos или как альтернатива, предусматривает предъявление электронного ключа. Электронный ключ, или сертификат — это электронный документ, который является удостоверением своего владельца в информационной системе. С технологической точки зрения сертификат устанавливает соответствие между пользователем и его открытым ключом. Сертификаты могут храниться на смарт-картах, небольших носителях, называемых токенами, и других устройствах. Аутентификация с использованием смарт-карт происходит в три шага:

1. Пользователь вставляет носитель ключа в считыватель. В RHEL данная операция автоматически регистрируется подключаемыми модулями аутентификации (pluggable authentication modules, PAM).
2. Система соотносит сертификат с учётной записью пользователя, после чего проверяет соответствие открытого ключа в сертификате пользователя, и соответствующего закрытого ключа данного пользователя, который хранится на сервере.
3. Если сертификат успешно проходит проверку в центре распределения ключей (Key Distribution Center — KDC), то пользователю разрешается войти в систему.

Инфраструктура открытых ключей Red Hat Certificate System

Все основные операции инфраструктуры открытых ключей такие, как выпуск, обновление, контроль статуса и отзыв сертификатов, запись на носитель, архивирование и восстановление криптографических ключей осуществляются с помощью модуля Red Hat Certificate System (RHCS), который состоит из следующих подсистем:

1. Центр сертификации (или менеджер сертификатов) является ядром RHCS, обеспечивая выпуск и отзыв всех сертификатов среды. С помощью центра сертификации можно создать домен безопасности для всех доверенных подсистем.
2. Центр восстановления ключей (или менеджер восстановления данных) служит для хранения ключевой пары на сервере с целью восстановления в случае утраты пользователем закрытого ключа. В связи с требованием о невозможности отзыва пользователем своей электронной подписи Центр восстановления может использоваться только для ключей шифрования.
3. Сервис подтверждения статуса сертификата (online certificate status responder, OCSP) проверяет валидность сертификата на момент запроса.
4. Центр регистрации обрабатывает запросы на выпуск сертификатов, включая, если нужно, процесс согласования.

Подсистема управления носителями (Token Management System) обеспечивает управление всеми ключевыми носителями и в свою очередь состоит из следующих компонент:

1. Клиент корпоративной безопасности (Enterprise Security Client) представляет собой пользовательский интерфейс для работы с сертификатами на ключевых носителях (смарт-картах).
2. Система обработки носителей (Token Processing System, TPS) является серверной частью клиента корпоративной безопасности и обеспечивает взаимодействие клиента с бэк-офисными системами: центром сертификации, центром регистрации и центром восстановления ключей.
3. Сервис ключевых носителей (Token Key Service, TKS) служит для управления мастер-ключами, необходимыми для взаимодействия TPS и Enterprise Security Client.

Размещение ключей и сертификатов на внешних носителях даёт пользователям больше возможностей и обеспечивает высокий уровень защиты, но в тоже время является достаточно дорогой и сложной в эксплуатации технологией. Если ставится задача реализовать лишь некоторые криптографические функции, например, отправку зашифрованной почты или SSL, то для этого RHCS может работать в режиме «без использования внешних носителей». В этом случае ключи и сертификаты могут храниться в базе данных, а для управления сертификатами достаточно установить центр сертификации.

Клиент корпоративной безопасности

Клиент корпоративной безопасности представляет собой кросс-платформенное приложение, которое позволяет конечным пользователям выполнять все необходимые операции с ключами и сертификатами на своих носителях. С помощью него можно создать систему самообслуживания, что может существенно снизить нагрузку на администраторов.

Для конечных пользователей клиент корпоративной безопасности даёт следующие возможности:

• позволяет регистрировать ключевые носители, чтобы они распознавались сервисом TPS;
• обеспечивает ключевых носителей, включая проверку статуса и перерегистрацию;
• поддерживает идентификацию пользователей и устройств.

При подготовки статьи были использованы материалы:

• Red Hat Certificate System. Admin Guide
• Red Hat Enterprise Linux 6. Managing Single Sign-On and Smart Cards