Il ya des dizaines d' authentification, d'autorisation et de comptabilité ( AAA protocoles ) pour Linux , chacun suivant son propre ensemble de règles sur la manière de gérer les données des utilisateurs . Deux des joueurs les plus fortement mises en œuvre sont Kerberos et Diameter, chacun ayant ses propres avantages et inconvénients. Kerberos Informations
Kerberos a été développé par le Massachusetts Institute of Technology et est fourni gratuitement . La méthode utilisée par Kerberos permet une authentification mutuelle , ou la capacité à la fois pour le client et le serveur pour vérifier les identités des uns et des autres avant de poursuivre. Kerberos fonctionne hors cryptographie à clé symétrique dans lequel il doit y avoir un secret partagé entre deux parties de communiquer .
Simplifié , la façon dont Kerberos travaux consiste à utiliser un tiers de confiance , a qualifié le centre de distribution de clés . Il est divisé en deux parties: le serveur d'authentification et le serveur d'octroi de tickets . Chaque noeud d'un réseau possède une clé secrète qui est seulement connu pour le centre de distribution de clés et de ce nœud. Lorsque deux nœuds veulent interagir sur le réseau , ils obtiennent une clé partagée temporaire de communiquer en toute sécurité .
Bien que ce système semble sûr , il ya des inconvénients . Si le serveur Kerberos est en baisse alors personne ne peut se connecter au réseau . En outre, puisque toutes les clés sont stockées sur le tiers de confiance , si une machine est compromis alors il en va tout autrement.
Kerberos a connu beaucoup de succès. La plupart des distributions Linux sont livrés avec Kerberos fourni dans le système d'exploitation.
Exécution Kerberos
Pour installer Kerberos, assurez-vous que vous avez une machine serveur Kerberos. Ce sera la machine à travers laquelle tout le trafic Kerberos fonctionne , vérifiez donc sa sécurité pour confirmer qu'il est la machine la plus étroitement configuré sur votre réseau .
Bien qu'il y ait la possibilité d'installer tout le code Kerberos vous , il est fortement recommandé que vous obtenez quelque chose comme Kerbnet de Cygnus Solutions ou utilisez une entreprise comme CyberSafe de fournir les outils nécessaires Kerberos . Ces logiciels sont livrés avec la dernière version du code pré- compilé et avec plusieurs binaires pour vous de travailler à partir . Ils aident les administrateurs système et les professionnels non techniques accélérer le processus de mise en œuvre Kerberos. Aussi garder à l' esprit que les produits de mise en réseau plus Cisco ont déjà mis en œuvre Kerberos .
Si vous souhaitez approcher le code vous-même , vous pouvez le télécharger sur le site du MIT et suivez les instructions de configuration détaillées avant de prendre et d'installer les programmes compilés . En suivant cette procédure vous aidera à en apprendre davantage sur Kerberos que vous autrement , il sera également le processus plus long et déroutant si vous n'avez jamais travaillé avec quelque chose dans ce format brut sur un système Unix avant .
< Br >
Diamètre Informations
diamètre est le successeur de Radius, TACACS + et d'autres méthodes AAA basés sur la même origine TACACS . Contrairement à Kerberos, qui est conçu avec un modèle client- serveur à l'esprit, le diamètre est construit sur une méthode peer-to -peer . L'une des principales améliorations de sécurité de diamètre est qu'il n'utilise plus UDP ( un type de paquet rapide mais sécurisé) , comme Radius , mais repose uniquement sur TCP et SCTP ( deux options les plus sécurisées pour le transfert de données).
Diamètre a été annoncée comme la prochaine génération de protocoles AAA. Ses améliorations de sécurité plus Radius rendent supérieur à n'importe lequel de ses prédécesseurs. Où Radius avait des problèmes avec la fiabilité et l'évolutivité , tout en étant incapable de gérer l'accès à distance , diamètre permet un seul serveur pour gérer la plupart des travaux et est livré avec la capacité d'utiliser des extensions pour étendre les capacités du protocole au-delà de sa construction originale .
mise en oeuvre Diamètre
la meilleure façon de mettre en oeuvre Diamètre sur votre système est d'utiliser OpenDiamater , un outil gratuit , open-source pour ceux qui souhaitent expérimenter avec le protocole. L'obtention du code source est relativement facile car il dispose d'une page de SourceForge.net avec toutes les données nécessaires . Documentation , cependant, est difficile à trouver. Les étapes sont , heureusement , assez simple.
Abord, installez le Boost et les bibliothèques de l'ECA comme ils sont les exigences pour OpenDiameter à travailler . Boostez vous pouvez trouver dans la plupart des gestionnaires de paquets de Linux , tandis que ACE doit être installé à partir de la source. Après cela , définissez les variables d'environnement nécessaires pour chaque avant de télécharger la source de OpenDiameter et la configuration , la fabrication et l'installer sur votre système. De là, suivez le guide pour gérer les clients et les serveurs test pour votre système pour s'assurer que tout fonctionne correctement.