Authentication в активна директория

Удостоверяване на Active Directory

Виктор Ashik инструктор Eureka образователен център [email protected]

Формулиране на проблема: това, което е на автентичността

В зората на компютърната информационна технология е тромава и скъпа машина, тя има достъп само до конкретна персонал, чиято задача е да се направи на потребителите на програмата и да се въведат им да се справят. По този начин, достъп до хората, контролирана система. Тогава дойде компютърен терминал устройство под формата на монитор с клавиатура, и на такива устройства това биха могли да бъдат няколко. са били допуснати до терминалите не само персоналът, но и простосмъртните. Така че е имало удостоверяване на потребителя предизвикателство: трябва да се работи, преди компютърът да идентифицира едно лице за самоличност и за достъп му права. За да направите това, всеки потребител се възлага да се превърне в име-различна от останалите, и парола. Име и парола, въведена от потребителя преди употреба, за да се идентифицира потребителско име и парола, за да се провери неговата автентичност, т.е. автентичност. Потребителско име обикновено се съхранява в чист текст, и парола във формата на необратим функция на потребителско име и парола, наречена хеш, тъй като В резултат на тази функция е тюрлюгювеч на символи. При влизане в потребителят представя своето потребителско име и парола, се изчисляват и се сравнява с хеша съхранява в система парола хеш на потребителя. Когато съвпадението на удостоверяване е успешна и ще продължи своята софтуерна среда за потребителя. По този начин системата се съхраняват в базата данни на потребителите с техните имена и хешовете на паролите.

Тогава компютри започна да се обединят в мрежи, както и достъпа на потребителите до ресурсите на компютри по мрежата също трябва да бъдат наблюдавани. Първият подход за идентификация на потребителя и се оказа, че са подходящи в мрежата, но потребителят се оказа много сметки: най-малко по един за всяка кола, за която той е имал достъп до ресурси.

Тогава потребителски акаунти на базата данни, са решили да се централизират и хеш на паролата се предава по мрежата. Така че имаше домейни.

С появата на личната история компютри се повтори точно, от единични машини и техните асоциации в мрежата за централизиране на бази данни за съхранение с акаунти. Един от първите продукти на Microsoft, които прилагат сметки на домейни стана Lan Manager.

Удостоверяване на Windows NT LAN Manager наследство

От Lan продуктов мениджър в Windows NT е преминал протокол за удостоверяване, който е наличен в системата в три лица: LM класически протокол за удостоверяване, криптографски хешове е много ниска; NTLM и NTLM средно криптографски v.2 (като се започне с Service Pack 4), най-устойчивите на това семейство, е имало шум след като програмата L0pht Crack, счупване на хешовете на паролите от NTLM, като фъстъци, се оказва, че е разделен на части в semisimvolnye NTLM парола и тези части са криптирани независимо.

Windows NT иновациите е връзката на доверие между домейни, които дават възможност на потребителя към домейн, за да получат достъп до други ресурси, без да е в крайна сметка.

Стеснен участък схема класическа домейн контролер на домейн, който се изживява пропорционално натоварване на активността на потребителя с мрежови ресурси: всеки път, когато потребител се свърже със сървъра за домейн последният поиска удостоверяване на потребителя за домейн контролера. Въведение бекъп домейн контролер намалява натоварването на отделен контролер, но създава допълнителен трафик на мрежовия трафик, репликация между тях.

Kerberos от MIT доказано охрана

протокол за удостоверяване Kerberos мрежа дължи името си на триглав охраната на ада в гръцката митология, който бе победен от Хераклес в извършването на последното, 12-то постижение. По-известен в нашата Латинска транскрипция на името Cerberus.

Протоколът Kerberos е разработена в Масачузетския технологичен институт (MIT) и е предназначен за сигурно разпознаване за приложения клиент / сървър чрез използване на таен ключ на криптографията.

Kerberos работи:

Въз основа на протокол за удостоверяване на Kerberos е необходимо познаване както на споделена тайна от страните преди да борсата. Това е тайна парола, или по-скоро, взети от функцията му.
Да предположим, Аня и Ваня комуникират през мрежа и искат да проверят автентичността на един друг. Ако премине на самата парола или функция на това, тайната да бъде компрометирана в по-голяма или по-малка степен. Освен това, предаваната информация трябва да бъде зависим от времето, за да се избегне повторение върху страничната предаване сесия аудио.
Ето защо, вместо да изпраща паролата самата Аня предава някаква информация и щемпел на времето, например, Здравейте, това е Анна сега 12:25 шифроване на своя публичен ключ. Ваня, получаване шифровано съобщение, екстракти печата време и поставя в посланието си: Здравейте, това е Ваня, времето ви е 12:25, а криптира общата ключа. Аня получи Wani отговор, екстракти от това времето си печат. След като Иван е бил в състояние да извлича времето си печат, така че той не знае паролата, а паролата е една и съща парола Ани. По този начин, се извършва по взаимно удостоверяване.

Ключът към мрежовата сигурност kerberizatsiya всички системи

Fly в мехлем: вътрешен / външен удължаване на прилагането на стандарта