Tt-fakulteti



Yüklə 126,36 Kb.
səhifə7/19
tarix07.01.2024
ölçüsü126,36 Kb.
#210937
1   2   3   4   5   6   7   8   9   10   ...   19
3-Mustaqil ish Tarmoq Xavfsizligi Ravshanov M

Kerberos
Agar sizga xavfsiz bo'lmagan nuqtalarning bir-biri bilan xavfsiz aloqa qilishiga ruxsat berish uchun tarmoq autentifikatsiya protokollari kerak bo'lsa, Kerberosni amalga oshirishni xohlashingiz mumkin. Ushbu protokol mijoz va server o'rtasida o'zaro autentifikatsiyani ta'minlash uchun chiptalar tizimidan foydalanadi. U yunon mifologiyasining uch boshli qo'riqchi iti uchun nomlangan va metafora kengayadi: Kerberos protokolida uchta asosiy komponent mavjud: mijoz, server va kalitlarni tarqatish markazi (KDC).
Kerberosning aniq afzalligi shundaki, qurilma himoyalanmagan bo'lishi va hali ham xavfsiz ma'lumotlarni uzatishi mumkin. Windows 2000 dan keyingi Microsoft dasturlari asosiy autentifikatsiya protokoli sifatida Kerberosdan foydalanadi. Protokoldan foydalanadigan qurilmalar nisbatan yaxshi sinxronlangan soatlarga ega bo'lishi kerakligi, shu jumladan, bir nechta kamchiliklar mavjud, chunki jarayon vaqtga sezgir. Bundan tashqari, ushbu protokolni virtual xostingga ega tarmoqlar uchun ishlatish tavsiya etilmaydi, chunki har bir xost o'zining Kerberos kalitlari to'plamini talab qiladi.

LDAP va Active Directory
Lightweight Directory Access Protocol (LDAP) va Active Directory deyarli bir xil narsadir. Active Directory, aslida, Microsoft-ning LDAP-ning xususiy ilovasi bo'lib, u LDAP bo'lsa-da, uning ustiga ko'plab qo'shimcha funktsiyalar qo'shilgan.
Ba'zi tarmoq qurilmalari, xususan, simsiz qurilmalar autentifikatsiya qilish uchun to'g'ridan-to'g'ri LDAP yoki Active Directory bilan gaplashishi mumkin. Ammo Cisco kalitlari va marshrutizatorlari LDAP va Active Directory tillarida gapirmaydi. Agar sizda Cisco uskunasi bo'lsa, oraliq bosqich sifatida boshqa narsadan, odatda RADIUSdan foydalanishingiz kerak bo'ladi.
RADIUS va Active Directory yoki LDAPni ulashning ikkita umumiy usuli mavjud. Birinchisi, Cisco Access Control Server (ACS) dan foydalanish va uni o'z nomlari do'koni uchun Active Directory ishlatish uchun sozlash. Ikkinchisi, Active Directory domen kontrollerlarida mahalliy Microsoft RADIUS xizmatini ishga tushirishdir.

Qadimgi o'tmishda, butun Microsoft yechimi masshtablash muammolariga ega edi, shuning uchun odamlar kattaroq joylashtirishda undan qochishga moyil edilar. Biroq, bu endi to'g'ri emas. Endi ikkala variant ham ajoyib.
Hozirgi kunda ko'p narsalarda bo'lgani kabi, Active Directory ham bulutga o'tdi - Azure Active Directory, Active Directory bilan bir xil bo'lmasa ham, an'anaviy mahalliy Active Directory va Oauth kabi bulutga asoslangan autentifikatsiya protokollarining ko'p afzalliklarini birlashtiradi. va bulutga asoslangan platformada SAML.
Outh 2
Oauth 2 - Oauth (Ochiq autentifikatsiya so'zining qisqartmasi) protokolining ikkinchi iteratsiyasi bo'lib, Internetda foydalanuvchilarga veb-saytlar va mobil ilovalarga parollarni bermasdan o'z hisob ma'lumotlariga kirishga ruxsat berish usuli sifatida ishlatiladigan ochiq standart avtorizatsiya protokoli. U Amazon, Google, Facebook, Twitter va boshqalarni o'z ichiga olgan ko'plab mashhur saytlar va ilovalar tomonidan qo'llaniladi.
Ushbu protokol HTTP bilan ishlash uchun mo'ljallanganligi sababli, u asosan manba egasining ruxsati bilan uchinchi tomonga "kirish tokenlari" ni qo'llash imkonini beradi. Buni kimgadir uyingizga alohida "valet kaliti" berish kabi o'ylab ko'ring.

Oauth 2 bilan psevdoautentifikatsiya jarayoni
Nima uchun Oauth 2 dan foydalanish kerak? Ushbu protokolning asosiy afzalligi - oxirgi foydalanuvchilar uchun foydalanish qulayligi. Ular ushbu maqsad uchun qo'shimcha, maxsus hisob yaratmasdan sayt yoki xizmatga kirish huquqiga ega bo'lishadi.
Biroq, kamchiliklar mavjud, birinchi navbatda, xavfsizlik xavfi. Ko'pgina xizmatlar uchun bitta hisobdan foydalanish orqali, agar bu asosiy hisob buzilgan bo'lsa, foydalanuvchilar boshqa ko'plab misollarni buzish xavfini tug'diradilar. Bundan tashqari, Oauth 2 avtorizatsiya uchun protokoldir, ammo bu haqiqiy autentifikatsiya protokoli emas. Bu OpenID kabi egalikni tasdiqlamaydi, u uchinchi tomon API-lariga tayanadi.
SAML
SAML (Security Assertion Markup Language) Xavfsizlik tasdiqini belgilash tilini anglatadi. Bu avtorizatsiya va autentifikatsiya ma'lumotlarini almashish uchun ochiq standartdir. Shuningdek, u xuddi shu nomdagi bog'langan protokolga ega. Protokol foydalanuvchi uchun autentifikatsiya, atribut va avtorizatsiyani talab qiladigan so'rovlar to'plamidir (ha, boshqa AAA).
Odatda, SAML ko'p faktorli autentifikatsiya yoki bir marta kirish imkoniyatlarini moslashtirish uchun ishlatiladi. Uning kuchi bir nechta so'rovlarning xavfsizligidadir. SAML ning salbiy tomoni shundaki, u murakkab va xizmat ko'rsatuvchi provayderlar bilan bir nechta aloqa nuqtalarini talab qiladi.

SAML yordamida SSO (Yagona tizimga kirish) misoli.

Yüklə 126,36 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   10   ...   19




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin