Existem dezenas de protocolos de autenticação , autorização e contabilidade ( AAA) para Linux , cada um seguindo o seu próprio conjunto de regras sobre a forma de gerir os dados dos usuários. Dois dos jogadores mais bem implementadas são Kerberos e de diâmetro, cada uma com suas próprias vantagens e desvantagens. Kerberos Informações
Kerberos foi desenvolvido pelo Instituto de Tecnologia de Massachusetts e é fornecido gratuitamente . O método utilizado pelo Kerberos permite autenticação mútua , ou a capacidade , tanto para o cliente eo servidor para verificar a identidade de cada um antes de continuar. Kerberos trabalha fora criptografia de chave simétrica , em que deve haver um segredo compartilhado entre as duas partes para se comunicar.
Simplificado , a forma como Kerberos trabalha envolve o uso de uma terceira parte confiável, classificou o centro de distribuição de chaves . Este é dividido em duas partes: o servidor de autenticação eo servidor de concessão de tíquete . Cada nó em uma rede tem uma chave secreta que é conhecida apenas para o centro de distribuição de chaves e aquele nó. Quando dois nós querem interagir na rede , que recebem uma chave compartilhada temporária para comunicar de forma segura .
Embora este sistema parece seguro , há desvantagens . Se o servidor Kerberos é baixo , então ninguém pode entrar para a rede. Além disso, uma vez que todas as chaves são armazenadas na terceira parte confiável , se é uma máquina fica comprometida , em seguida, o mesmo acontece com tudo o resto.
Kerberos tem visto uma série de sucesso. A maioria das distribuições Linux vem com Kerberos agrupados para o sistema operacional.
Implementando Kerberos
Para instalar Kerberos, verifique se você tem uma máquina do servidor Kerberos. Esta será a máquina através do qual todo o seu tráfego Kerberos é executado , por isso verifique a sua segurança para confirmar se é a máquina mais firmemente configurado em sua rede .
Enquanto não há a opção de instalar todo o código -se Kerberos , é altamente recomendável que você adquirir algo como Kerbnet de Cygnus Solutions ou usar uma empresa como a CyberSafe para fornecer o Kerberos necessário implementa . Estes pacotes de software vêm com o código mais recente pré- compilados e com vários binários para você trabalhar. Eles ajudam os administradores de sistemas e profissionais não-técnicos acelerar o processo de implementação de Kerberos. Também tenha em mente que a maioria dos produtos de rede Cisco tem Kerberos já implementadas.
Se você deseja se aproximar do código , você pode baixá-lo do site da MIT e siga as instruções detalhadas de configuração antes de fazer e instalar os programas compilados . Ao seguir este procedimento o ajudará a aprender mais sobre o Kerberos que você faria de outra forma , ele também será o mais demorado e processo confuso se você nunca trabalhou com algo neste formato bruto em um sistema Unix antes.
< Br >
Diâmetro Informações
Diâmetro é o sucessor do Radius, TACACS + e outros métodos de AAA com base na mesma origem TACACS . Ao contrário de Kerberos, que é projetado com um modelo cliente -servidor em mente , diâmetro é construído sobre um método de peer-to -peer . Uma das principais melhorias de segurança do diâmetro é que ele não usa UDP ( um rápido, mas inseguro tipo de pacote ) , como Radius, mas depende puramente em TCP e SCTP ( duas opções mais seguras para a transferência de dados).
Diâmetro foi anunciada como a próxima geração de protocolos de AAA. Suas melhorias de segurança mais Raio torná-lo superior a qualquer dos seus antecessores. Onde raio teve problemas com confiabilidade e escalabilidade , além de ser incapaz de lidar com o acesso remoto , diâmetro permite que um único servidor para lidar com a maior parte do trabalho e vem com a capacidade de usar extensões para expandir as capacidades do protocolo para além de sua construção original .
Diâmetro implementação
a maneira mais fácil de implementar Diâmetro em seu sistema é a utilização de OpenDiamater , uma ferramenta de código aberto para aqueles que desejam experimentar com o protocolo . A obtenção do código fonte é relativamente fácil , uma vez que tem uma página SourceForge.net com todos os dados necessários . Documentação, no entanto, é mais difícil de encontrar . Os passos são , felizmente , bastante simples.
Primeiro, instale o Boost e bibliotecas da ECA como eles são requisitos para OpenDiameter trabalhar. Impulsione pode encontrar na maioria dos gerenciadores de pacotes do Linux , enquanto a ACE deve ser instalado a partir da fonte . Depois disso , defina as variáveis de ambiente necessárias para cada antes de baixar a fonte OpenDiameter e configurar , fazer e instalá-lo em seu sistema. A partir daqui siga o guia para executar os clientes de teste e servidores para o seu sistema para se certificar de que tudo está funcionando corretamente.