Tarmoq identifikatsiyasi va autentifikatsiyasi protokollari.
Tarmoqni autentifikatsiya qilish protokollari tarmoq resurslariga kirishda foydalanuvchi identifikatorini tasdiqlashning sanoat standarti usullari bilan yaxshi belgilangan.
Tarmoq ma'muri sifatida siz tarmoq qurilmalaringizga kirishingiz kerak. Buning uchun, albatta, login ID va parol kerak. Tarmoq qurilmasi siz kiritgan login identifikatori va parolning to'g'riligini qanday biladi? Muxtasar qilib aytganda, u siz taqdim etgan login identifikatori va parolni mavjud foydalanuvchi qayd yozuvlari bilan taqqoslaydi.
Lekin bu mavjud hisob qaydnomalari qanday saqlanadi? Eng oddiy variant hisob ma'lumotlarini har bir qurilmada mahalliy saqlashdir, lekin sizda juda ko'p qurilmalar bo'lsa, uni boshqarish qiyin. Eng yaxshi alternativa - bu qurilmalarga markaziy serverdan hisob ma'lumotlarini olishga ruxsat berish uchun protokoldan foydalanish.
Eng ko'p ishlatiladigan avtorizatsiya va autentifikatsiya protokollari Oauth 2, TACACS+, RADIUS, Kerberos, SAML va LDAP/Active Directory hisoblanadi. Bular raqobatdosh protokollar emasligini tushunish muhimdir. Men ularning barchasini bir vaqtning o'zida ishlatadigan ko'plab muhitlarni ko'rdim - ular turli xil narsalar uchun ishlatiladi.
Ushbu maqolada biz eng ko'p qo'llaniladigan protokollarni va ularning har birini qayerda ishlatishni muhokama qilamiz. Ishni boshlashdan oldin, siz tashvishlanishingiz kerak bo'lgan uchta asosiy vazifani bilishingiz kerak, shuning uchun turli xil vaziyatlar uchun turli xil protokollar qo'llaniladi. Biz ularni autentifikatsiya, avtorizatsiya va buxgalteriya hisobi uchun AAA qisqartmasi bilan umumlashtiramiz. Ba'zan audit uchun to'rtinchi A bor.
Mahalliy hisoblar haqida eslatma Mahalliy hisoblar yordamida siz ma'muriy foydalanuvchi identifikatorlari va parollarini to'g'ridan-to'g'ri har bir tarmoq qurilmasida saqlaysiz. Bu jiddiy kamchiliklarga ega.
Birinchidan, agar sizda juda ko'p qurilmalar mavjud bo'lsa, tarmoq bo'ylab foydalanuvchi qo'shish yoki o'chirish yoki parollarni o'zgartirish kabi o'zgarishlarni amalga oshirish katta ish bo'ladi.
Ikkinchidan, agar kimdir ushbu qurilmalardan biriga yoki hatto uning konfiguratsiya fayliga jismoniy kirish huquqiga ega bo'lsa, ular jimgina, ehtimol qo'pol kuch bilan parollarni buzishi mumkin. Keyin, agar parollar ko'p qurilmalarda bir xil bo'lsa, tarmoq xavfsizligingiz xavf ostida.
Uchinchidan, tizimga kirishning muvaffaqiyatsiz urinishlari kabi narsalarni markaziy ro'yxatga olish va tekshirish yoki siz buzilgan deb hisoblagan hisobni blokirovka qilish juda qiyin bo'ladi.
Bularning barchasini aytib o'tgandan so'ng, mahalliy hisoblar bitta muhim vaziyatda juda muhim: qurilmaning markaziy autentifikatsiya serveriga kirishiga to'sqinlik qiladigan muammo yuzaga kelganda, siz hali ham kirishingiz uchun kamida bitta mahalliy hisob qaydnomasiga ega bo'lishingiz kerak. (Va, Albatta, hal qilinishi kerak bo'lgan asosiy muammo bo'lsa, siz qurilmaga kirishingiz kerak bo'ladi).
Yechim har bir qurilmada so'nggi chora imtiyozli hisobini sozlashdir. Bu autentifikatsiya xizmati mavjud bo'lsa, hech qachon ishlatilmaydigan hisob. Agar siz normal ishlash vaqtida mahalliy ma'muriy hisob ma'lumotlarini kiritmoqchi bo'lsangiz, ular muvaffaqiyatsiz bo'ladi, chunki markaziy server ularni tanimaydi.
Keling, turli xil tarmoq autentifikatsiya protokollari va ularning ijobiy va salbiy tomonlarini muhokama qilishga o'tamiz.
TACACS+ Terminalga kirish boshqaruvchisiga kirishni boshqarish tizimi (TACACS - Terminal Access Controller Access Control System) autentifikatsiya va avtorizatsiya bilan ishlash uchun xususiy Cisco protokolining biroz ortiqcha nomidir. Plyus belgisi autentifikatsiya protokolining zamonaviy versiyasini endi hech kim ishlatmaydigan juda eskisidan ajratib turadi.
TACACS+ bir nechta asosiy farqlovchi xususiyatlarga ega. Bu autentifikatsiya paketlarini to'liq shifrlash imkonini beradi, chunki ular server va tarmoq qurilmasi o'rtasida tarmoqni kesib o'tadi. Bu tajovuzkor tarmoqni kesib o'tganda tizimga kirish ma'lumotlaringizni o'g'irlashining oldini oladi.
TACACS+ aloqa diagrammasi.
TACACS+ ning eng muhim va foydali xususiyati uning granulyar buyruqlarni avtorizatsiya qilish qobiliyatidir. Cisco qurilmasida TACACS+ bilan buyruq avtorizatsiyasidan foydalansangiz, turli ma'muriy foydalanuvchilar qurilmada aynan qaysi buyruqlarni kiritishini cheklashingiz mumkin.
Masalan, yordam stoli foydalanuvchisiga “interfeys qisqachasini ko‘rsatish” buyrug‘ining natijasini ko‘rishga ruxsat berishingiz mumkin, lekin boshqa “ko‘rsatish” buyruqlarida yoki hatto “interfeysni ko‘rsatish” buyrug‘ining boshqa variantlarida emas.
Buyruqning avtorizatsiyasi ba'zan turli sabablarga ko'ra qurilmalarga ko'p odamlar kirishiga ega bo'lgan yirik tashkilotlarda qo'llaniladi. Ammo tarmoq ma'murlari tarmoq qurilmalarida hamma narsani qiladigan tashkilotda bu xususiyat unchalik mazmunli emas. Avtorizatsiyaning nozik tabiati tufayli, agar ko'p moslashtirish amalga oshirilsa, TACACS+ da ruxsatlarni boshqarish qiyin bo'lishi mumkin.
RADIUS Dial-up foydalanuvchilarini autentifikatsiya qilish uchun endi masofaviy autentifikatsiya qilish xizmati (RADIUS - Remote Authentication Dial-In User Service) kamdan-kam qo'llaniladi, ammo shuning uchun u dastlab ishlab chiqilgan. Endi bu foydalanuvchi autentifikatsiyasi uchun umumiy maqsadli protokol.
TACACS+ dan farqli o'laroq, RADIUS butun paketni shifrlamaydi. Buning o'rniga, u faqat foydalanuvchi autentifikatsiya ma'lumotlarini o'z ichiga olgan paketning qismini shifrlaydi. Ushbu xavfsizlik darajasi odatda yetarlicha yaxshi deb hisoblanadi, garchi men uni VPN kabi qo'shimcha shifrlashsiz umumiy Internet orqali o'tkazishni tavsiya etmayman.
RADIUS autentifikatsiyasining namunasi.
RADIUS ma'muriy foydalanuvchilar tarmoq qurilmalariga kirishda autentifikatsiya qilish uchun ishlatilishi mumkin bo'lsa-da, u odatda tarmoqqa kiruvchi foydalanuvchilarning umumiy autentifikatsiyasi uchun ishlatiladi. Masalan, RADIUS tarmoqqa kirishda simli yoki simsiz foydalanuvchilarni autentifikatsiya qilish uchun 802.1X autentifikatsiyasi tomonidan foydalaniladigan asosiy protokoldir.
Juda keng tarqalgan usul RADIUS-dan 802.1X kabi narsalar uchun autentifikatsiya protokoli sifatida foydalanish va RADIUS serverining backenddagi Active Directory yoki LDAP serveri bilan gaplashishidir. Keyin Active Directory yoki LDAP tizimi foydalanuvchi identifikatorlari va parollarini boshqaradi. Bunday sozlash turli foydalanuvchilar qaysi qurilmalar va tizimlarga kirishi mumkinligini markazlashtirilgan boshqarish imkonini beradi.