WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
Имеется ряд методов совместно использовать регистрационные данные. С
ростом популярности сетей, пользователи уходят далеко за пределы своей
LAN, так что данная задача становится все более общей. NIS и NIS+ (формально известны как yellow pages) сокращение
от Network Information Service. По существу NIS и NIS+ обеспечивают средства,
чтобы распределить файлы паролей, файл group, и другие файлы конфигурации по
машинам в сети, обеспечивая синхронизацию паролей (среди других услуг). NIS+
по существу NIS с несколькими расширениями (обычно связанными с защитой). Чтобы использовать NIS, надо установить мастер-сервер NIS, который будет
хранить записи и позволять их менять. Он может распределять записи на
вторичные NIS-машины, которые содержат доступную только для чтения копию
записей (но они могут быть переведены в режим чтение-запись, если что-то
пошло не так). Клиентура NIS-сети запрашивает части информации и копирует их
непосредственно в свои файлы конфигурации (типа /etc/passwd), таким
образом делая их доступными в местном масштабе. Используя NIS Вы можете
обеспечивать несколько тысяч автоматизированных рабочих мест и серверов с
идентичными наборами usernames, информации о пользователях, паролей и т.п.
при уменьшении кошмаров администрирования. Однако это часть проблемы: в совместном использовании этой информации Вы
делаете ее доступной для нападавших. NIS+ пытается ее решить, но NIS+
чрезвычайный кошмар при установке. NIS+ использует безопасный RPC, который
может использовать одиночное DES шифрование (слабовато, конечно, но все же
лучше, чем ничего). Полагаться на него особо не стоит. Альтернативная стратегия должна использовать некоторый сорт VPN (подобно
FreeS/WAN, который, кажется, решает много проблем) и шифровать данные прежде,
чем они попадут в сеть. Имеется NIS / NIS+ HOWTO:
http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html, и OReilly имеет
превосходную книгу по предмету,
"Managing NFS and NIS". NIS / NIS+ выполняется над RPC, который
использует порт 111, tcp и udp. Это определенно должно быть ограничено
пределами Вашей сети, но полностью защитить NIS / NIS+, видимо, нельзя. Так
как NIS и NIS+ RPC-основанные услуги, они имеют тенденцию использовать
высокие номера портов (то есть, выше 1024) несколько произвольным способом,
делая firewalling этого довольно трудным. Самые лучшие решения состоят в том,
чтобы поместить сервер(а) NIS во внутреннюю сеть, которая блокирована
полностью. Имеется также превосходное руководство по безопасности NIS на
http://www.eng.auburn.edu/users/doug/nis.html. или Kerberos современная сетевая опознавательная система, основанная на идеи
вручения пользователям билетов, как только они подтвердили подлинность на
сервере Kerberos (подобно использованию маркеров в NT). Kerberos доступен для
скачивания на
http://web.mit.edu/kerberos/www. Kerberos FAQ есть на
http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html.
Kerberos более безопасен и масштабируем, чем NIS / NIS+. Керберизированные
(Kerberizing) программы типа telnet, imap и pop найти не так просто, но можно,
а вот Windows-клиенты с поддержкой Kerberos найти трудно. Radius часто используемый протокол, чтобы опознать заходящих по модему
пользователей, и другие типы сетевого доступа.
ftp://ftp.cheapnet.net/pub/icradius
http://www.livingston.com/tech/docs/radius
ftp://ftp.livingston.com/pub/le/radius
http://www.mindrot.org/code/radiusd-sql.php3
http://www.iinet.net.au/~michael/radius.html
http://www.miquels.cistron.nl/radius Written by Kurt Seifried
Сетевая аутенфикация
Обзор
NIS / NIS+
ipfwadm -I -a accept -P udp -S 10.0.0.0/8 -D 0.0.0.0/0 111
ipfwadm -I -a accept -P udp -S some.trusted.host -D 0.0.0.0/0 111
ipfwadm -I -a deny -P udp -S 0.0.0.0/0 -D 0.0.0.0/0 111
ipchains -A input -p udp -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 111
ipchains -A input -p udp -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 111
ipchains -A input -p udp -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 111
Kerberos
Radius
ICRADIUS
Livingston Radius
Ascend RADIUSd SQL патч
perlradius
Сервер Cistron RADIUS
Найди своих коллег! |