Аутентификация на основе аппаратных ключей представляет собой более удобный и безопасный способ подключения к информационным ресурсам по сравнению с аутентификацией по логину и паролю. В этой статье мы познакомимся с технологиями аутентификации на основе смарт-карт, а также поговорим о централизованном управлении смарт-картами и другими типами ключевых носителей в корпоративной среде, построенной на базе Red Hat Enterprise Linux (RHEL).
Важной возможностью решения Red Hat является технология единого входа (сквозная аутентификация, single sign-on) — пользователь, воспользовавшийся аппаратным ключом, получает авторизованный доступ не только данным и возможностям своей локальной рабочей станции, например, к возможности разблокировать сеанс работы, но и к сетевым ресурсам, базам данных, бизнес-приложениям в рамках корпоративной сети.
Сквозная аутентификация
Современные корпоративные пользователи применяют в своей работе большое количество приложений и сервисов, для каждого из которых необходима авторизация. Обслуживание многочисленных паролей, необходимость ввода пароля при каждом входе на тот или иной ресурс доставляют серьёзные хлопоты пользователям и администраторам. Для решения данной проблемы применяется технология единого входа (сквозная аутентификация, single sign-on, SSO), которая позволяет использовать единый метод аутентификации для всех сетевых ресурсов.
Red Hat Enterprise Linux 6 поддерживает технологию SSO для нескольких типов ресурсов, включая вход на рабочую станцию, разблокировку экрана, получение доступа к web-страницам с помощью Mozilla Firefox и отправку зашифрованной S/MIME почты с помощью Mozilla Thunderbird.
Одним из основополагающих принципов создания безопасной среды является корректное ограничение прав доступа для каждого пользователя, подключённого к сети. Если доступ разрешён, то пользователь может авторизоваться в системе и система подтвердит его идентификацию. Эффективная реализация SSO предусматривает качественную организацию проверки подлинности субъектов доступа, и у RHEL для этого есть два механизма:
- аутентификация на основе протокола Kerberos,
- аутентификация с использованием электронных ключей.
Kerberos
Многие информационные системы используют протокол Kerberos, которая обеспечивает аутентификацию пользователей с помощью учётных данных с ограниченным сроком действия. Выглядит это так:
- пользователь проходит процедуру аутентификации, например, вводит верный пароль, и, возможно, использует аппаратный ключ;
- в случае успеха аутентификации система создаёт для этого пользователя маркер безопасности — своего рода абонементный билет на вход в течение определенного времени.
С помощью такого билета пользователь может авторизоваться множество раз во всех доступных ему сервисах. Например, он может зайти по маркеру безопасности как в почту, так и на зашифрованный web-сайт, пройдя процедуру ввода своих учётных данных всего лишь раз. В зависимости от требований к защищенности системы время жизни маркера безопасности можно настраивать заставляя пользователя время от времени проходить процедуру аутентификации заново и получать новый билет.
Электронные ключи
Другая технология аутентификации, которая может использоваться в дополнение к Kerberos или как альтернатива, предусматривает предъявление электронного ключа. Электронный ключ, или сертификат — это электронный документ, который является удостоверением своего владельца в информационной системе. С технологической точки зрения сертификат устанавливает соответствие между пользователем и его открытым ключом. Сертификаты могут храниться на смарт-картах, небольших носителях, называемых токенами, и других устройствах. Аутентификация с использованием смарт-карт происходит в три шага:
- Пользователь вставляет носитель ключа в считыватель. В RHEL данная операция автоматически регистрируется подключаемыми модулями аутентификации (pluggable authentication modules, PAM).
- Система соотносит сертификат с учётной записью пользователя, после чего проверяет соответствие открытого ключа в сертификате пользователя, и соответствующего закрытого ключа данного пользователя, который хранится на сервере.
- Если сертификат успешно проходит проверку в центре распределения ключей (Key Distribution Center — KDC), то пользователю разрешается войти в систему.
Инфраструктура открытых ключей Red Hat Certificate System
Все основные операции инфраструктуры открытых ключей такие, как выпуск, обновление, контроль статуса и отзыв сертификатов, запись на носитель, архивирование и восстановление криптографических ключей осуществляются с помощью модуля Red Hat Certificate System (RHCS), который состоит из следующих подсистем:
- Центр сертификации (или менеджер сертификатов) является ядром RHCS, обеспечивая выпуск и отзыв всех сертификатов среды. С помощью центра сертификации можно создать домен безопасности для всех доверенных подсистем.
- Центр восстановления ключей (или менеджер восстановления данных) служит для хранения ключевой пары на сервере с целью восстановления в случае утраты пользователем закрытого ключа. В связи с требованием о невозможности отзыва пользователем своей электронной подписи Центр восстановления может использоваться только для ключей шифрования.
- Сервис подтверждения статуса сертификата (online certificate status responder, OCSP) проверяет валидность сертификата на момент запроса.
- Центр регистрации обрабатывает запросы на выпуск сертификатов, включая, если нужно, процесс согласования.
Подсистема управления носителями (Token Management System) обеспечивает управление всеми ключевыми носителями и в свою очередь состоит из следующих компонент:
- Клиент корпоративной безопасности (Enterprise Security Client) представляет собой пользовательский интерфейс для работы с сертификатами на ключевых носителях (смарт-картах).
- Система обработки носителей (Token Processing System, TPS) является серверной частью клиента корпоративной безопасности и обеспечивает взаимодействие клиента с бэк-офисными системами: центром сертификации, центром регистрации и центром восстановления ключей.
- Сервис ключевых носителей (Token Key Service, TKS) служит для управления мастер-ключами, необходимыми для взаимодействия TPS и Enterprise Security Client.
Размещение ключей и сертификатов на внешних носителях даёт пользователям больше возможностей и обеспечивает высокий уровень защиты, но в тоже время является достаточно дорогой и сложной в эксплуатации технологией. Если ставится задача реализовать лишь некоторые криптографические функции, например, отправку зашифрованной почты или SSL, то для этого RHCS может работать в режиме «без использования внешних носителей». В этом случае ключи и сертификаты могут храниться в базе данных, а для управления сертификатами достаточно установить центр сертификации.
Клиент корпоративной безопасности
Клиент корпоративной безопасности представляет собой кросс-платформенное приложение, которое позволяет конечным пользователям выполнять все необходимые операции с ключами и сертификатами на своих носителях. С помощью него можно создать систему самообслуживания, что может существенно снизить нагрузку на администраторов.
Для конечных пользователей клиент корпоративной безопасности даёт следующие возможности:
- позволяет регистрировать ключевые носители, чтобы они распознавались сервисом TPS;
- обеспечивает ключевых носителей, включая проверку статуса и перерегистрацию;
- поддерживает идентификацию пользователей и устройств.
При подготовки статьи были использованы материалы:
Комментариев нет :
Отправить комментарий