Ci sono decine di protocolli di autenticazione, autorizzazione e accounting ( AAA ) per Linux , ciascuno secondo il proprio set di regole su come gestire i dati degli utenti . Due dei giocatori più altamente implementate sono Kerberos e diametro , ciascuno con i propri vantaggi e svantaggi . Kerberos Informazioni
Kerberos è stato sviluppato dal Massachusetts Institute of Technology ed è fornito gratuitamente . Il metodo utilizzato da Kerberos consente l'autenticazione reciproca , ovvero la possibilità per il client e il server per verificare le rispettive identità prima di continuare. Kerberos funziona off crittografia a chiave simmetrica , in cui ci deve essere un segreto condiviso tra due parti di comunicare.
Semplificato , il modo in cui Kerberos opere comporta l'uso di una terza parte fidata , etichettato il centro di distribuzione delle chiavi . Questo è diviso in due parti: il server di autenticazione e il server di concessione ticket . Ogni nodo di una rete dispone di una chiave segreta che è noto solo al centro di distribuzione chiave e quel nodo . Quando due nodi vogliono interagire in rete , ottengono una chiave temporanea condiviso per comunicare in modo sicuro .
Mentre questo sistema sembra sicuro, ci sono svantaggi . Se il server Kerberos è giù , allora nessuno può accedere alla rete. Inoltre, poiché tutti i tasti sono memorizzati sul terzo di fiducia , se una macchina viene compromessa poi così fa tutto il resto .
Kerberos ha visto un sacco di successo. Maggior parte delle distribuzioni Linux dispongono di Kerberos in bundle nel sistema operativo .
Esecuzione Kerberos
Per installare Kerberos , assicurarsi di avere una macchina server Kerberos . Questa sarà la macchina attraverso la quale tutto il traffico Kerberos viene eseguito , in modo da controllare due volte la sua sicurezza per confermare che è la macchina più strettamente configurato nella rete .
Mentre non vi è la possibilità di installare tutto il codice Kerberos te , è altamente raccomandato che si acquista qualcosa come Kerbnet da Cygnus Solutions o utilizzare una società come CyberSafe a fornire i necessari strumenti di Kerberos . Questi pacchetti software sono disponibili con il codice più recente pre- compilato e con molti binari per voi a lavorare da . Essi aiutano gli amministratori di sistema e professionisti non tecnici accelerare il processo di implementazione di Kerberos . Anche tenere a mente che la maggior parte dei prodotti di networking Cisco hanno Kerberos implementato già .
Se si desidera avvicinarsi al codice di te stesso , è possibile scaricarlo dal sito del MIT e seguire le istruzioni dettagliate sulla configurazione prima di fare e di installare i programmi compilati . Anche a seguito di questa procedura vi aiuterà a saperne di più su Kerberos di al contrario , sarà anche il processo più lungo e confuso , se non avete mai lavorato con qualcosa in questo formato raw in un sistema Unix prima .
< Br >
Diametro Informazioni
Diametro è il successore di Radius , TACACS + e altri metodi AAA basati sulla stessa origine TACACS . Diversamente Kerberos , che è progettato con un modello client -server in mente, diametro è costruita su un metodo peer - to-peer . Uno dei principali miglioramenti di sicurezza di diametro è che non utilizza più UDP ( un veloce ma insicura tipo di pacchetto ) , come Radius , ma si basa esclusivamente su TCP e SCTP ( due opzioni più sicure per il trasferimento dati ) .
Diametro è stato annunciato come la prossima generazione di protocolli AAA . I suoi miglioramenti della sicurezza oltre Radius lo rendono superiore a qualsiasi dei suoi predecessori . Dove Radius ha avuto problemi con l'affidabilità e scalabilità , oltre a essere incapace di gestire l'accesso remoto , diametro consente un unico server per gestire la maggior parte del lavoro e viene fornito con la possibilità di utilizzare le estensioni per espandere le capacità del protocollo di là della sua costruzione originale .
Implementazione Diametro
il modo più semplice per implementare Diametro sul vostro sistema è quello di utilizzare OpenDiamater , uno strumento open-source gratuito per coloro che desiderano sperimentare con il protocollo . Ottenere il codice sorgente è relativamente facile in quanto ha una pagina di SourceForge.net , con tutti i dati necessari . Documentazione , tuttavia, è difficile da trovare. I passi sono , per fortuna , piuttosto semplice .
In primo luogo, installare il Boost e ACE biblioteche come sono i requisiti per OpenDiameter a lavorare. Potenzia la si può trovare nella maggior parte dei gestori di pacchetti Linux , mentre ACE deve essere installato dalla sorgente . Dopo di che, impostare le variabili di ambiente necessarie per ciascuna prima di scaricare la fonte OpenDiameter e la configurazione , fare e installarlo sul vostro sistema . Da qui seguire la guida per eseguire il client di test e server per il vostro sistema per assicurarsi che tutto funzioni correttamente.