Ci sono decine di autenticazione, autorizzazione e accounting (AAA) protocolli per Linux, ciascuna seguendo la propria regola impostata su come gestire i dati degli utenti. Due dei giocatori più altamente implementati sono Kerberos e diametro, ciascuno con i propri vantaggi e svantaggi.
Informazioni di Kerberos
Kerberos è stato sviluppato dal Massachusetts Institute of Technology ed è fornito gratuitamente. Il metodo utilizzato da Kerberos consente l'autenticazione reciproca, o la capacità per sia il client e il server per verificare l'identità di altro prima di continuare. Kerberos funziona disattivare crittografia a chiave simmetrica in cui ci deve essere un segreto condiviso tra due parti di comunicare.
Semplificato, il funzionamento di Kerberos comporta l'uso di una terza parte affidabile, etichettata key distribution center. Questo è diviso in due parti: il server di autenticazione e il ticket granting server. Ogni nodo in una rete dispone di una chiave segreta che è noto solo il centro distribuzione chiavi e tale nodo. Quando due nodi desidera interagire sulla rete, ottenere una chiave condivisa temporanea per comunicare in modo sicuro.
Mentre questo sistema sembra sicuro, ci sono svantaggi. Se il server Kerberos è inattivo, quindi nessuno può accedere alla rete. Inoltre, poiché tutti i tasti sono memorizzati sul terzo di fiducia, se quella macchina viene compromessa quindi così fa tutto il resto.
Kerberos ha visto un sacco di successo. La maggior parte delle distribuzioni di Linux sono dotate di Kerberos in bundle nel sistema operativo.
Implementazione di Kerberos
Per installare Kerberos, assicuratevi di che avere una macchina server Kerberos. Questa sarà la macchina attraverso il quale tutte le esecuzioni di traffico Kerberos, ricontrolla così la sicurezza per confermare è la macchina più strettamente configurata sulla rete.
Mentre c'è la possibilità di installare tutto il codice di Kerberos se stessi, si consiglia vivamente di acquistare qualcosa di simile Kerbnet da Cygnus Solutions o utilizzare una società come CyberSafe per fornire gli strumenti necessari di Kerberos. Questi pacchetti software sono dotati di codice più recente pre-compilato e con molti binari per poter lavorare da. Essi aiutano gli amministratori di sistema e non tecnici professionisti accelerare il processo di implementazione di Kerberos. Anche tenere a mente che la maggior parte prodotti di networking Cisco hanno Kerberos già implementata.
Se si desidera avvicinarsi il codice te stesso, puoi scaricarlo dal sito del MIT e seguire le istruzioni di configurazione dettagliata prima di fare e installare i programmi compilati. Mentre seguendo questa procedura vi aiuterà a saperne di più su Kerberos che sarebbe altrimenti, sarà anche il processo più che richiede tempo e confusione se non hai mai lavorato con qualcosa in questo formato raw su un sistema Unix prima.
Informazioni di diametro
Diametro è il successore di Radius, TACACS + e altri metodi di AAA sulla base della stessa origine TACACS. A differenza di Kerberos, che è stato progettato con un modello client-server in mente, diametro è costruita su un metodo peer-to-peer. Uno dei miglioramenti di capo della sicurezza di diametro è che non utilizza UDP (un tipo di pacchetto rapido ma insicuro), come raggio, ma si basa esclusivamente su TCP e SCTP (due opzioni più protetto per il trasferimento dati).
Diametro è stato annunciato come la prossima generazione di protocolli AAA. Relativi accessori di sicurezza sopra raggio lo rendono superiore ad uno qualsiasi dei suoi predecessori. Dove il raggio ha avuto problemi con affidabilità e scalabilità, oltre a essere incapace di gestire l'accesso remoto, diametro consente a un singolo server gestire la maggior parte del lavoro e viene fornito con la capacità di utilizzare le estensioni per espandere le funzionalità del protocollo oltre la sua costruzione originale.
Implementazione di diametro
Il modo più semplice per implementare diametro del sistema è quello di utilizzare OpenDiamater, uno strumento gratuito, open-source per coloro che desiderano sperimentare con il protocollo. Come ottenere il codice sorgente è relativamente facile perché ha una pagina di SourceForge.net con tutti i dati necessari. Documentazione, tuttavia, è più difficile trovare. I passaggi sono, per fortuna, piuttosto semplice.
In primo luogo, installare le librerie Boost e ACE come sono requisiti per OpenDiameter a lavorare. Spinta che possono trovare nella maggior parte dei gestori di pacchetti di Linux, mentre ACE deve essere installato dall'origine. Dopo di che, è possibile impostare le variabili di ambiente necessarie per ogni prima download del sorgente di OpenDiameter e configurazione, rendendo e installarlo sul vostro sistema. Da qui seguire la guida per eseguire il test di client e server per il vostro sistema per assicurarsi che tutto funzioni correttamente.