Autentificarea în directorul activ

Autentificarea în Active Directory

Victor Ashik instructor Eureka centru educațional [email protected]

Formularea problemei: ce este autentificarea

La începutul tehnologiei informațiilor de calculator a fost greoaie și mașină scumpă, are acces numai personalul specific, a cărui sarcină a fost de a face utilizatorii programului și să le introducă să se ocupe. Astfel, accesul la sistem controlat de oameni. Apoi a venit dispozitivul terminal de calculator sub forma unui monitor cu o tastatură, și astfel de dispozitive ar putea fi mai multe. au fost admise la terminalele nu numai personalul, ci și muritorii. Deci, a fost o provocare de autentificare utilizator: trebuie să lucreze înainte de calculator a identificat o persoană drepturile sale de identitate și acces. Pentru a face acest lucru, fiecare utilizator este atribuit pentru a deveni un nume diferit de celelalte, și o parolă. Numele și parola introduse de către utilizator înainte de utilizare, pentru a identifica numele de utilizator și parola pentru a verifica autenticitatea acestuia, și anume autenticitate. Numele de utilizator este de obicei stocate în text clar, și parola sub forma unei funcții ireversibile a numelui de utilizator și parola, numit hash, deoarece rezultatul acestei funcții este o amestecătură de simboluri. Când conectați utilizatorul prezintă numele de utilizator și parola, se calculează și se compară cu hash stocate în hash parola de sistem al utilizatorului. Atunci când coincidență de autentificare este de succes si ruleaza mediul de software pentru utilizator. Astfel, sistemul stochează baza de date de utilizator cu numele și parolele HASH.

Apoi, calculatoarele au început să se unească în rețele, precum și accesul utilizatorilor la resursele de calculatoare în rețea, de asemenea, trebuie să fie monitorizate. Fosta abordare a autentificarea utilizatorului și sa dovedit a fi adecvate în rețea, dar utilizatorul a dovedit mai multe conturi: cel puțin una pentru fiecare masina, la care a avut acces la resurse.

Apoi, conturile de utilizator baza de date a decis să centralizeze și hash a parolei transmise prin rețea. Deci, au existat domenii.

Odată cu apariția istoriei calculatoarelor personale se repeta exact, de la mașinile cu un singur și asociațiile acestora în rețeaua de centralizare a bazelor de date de stocare cu conturi. Unul dintre primele produse Microsoft care implementează conturi de domeniu a devenit Lan Manager.

Autentificarea pe Windows NT Lan Manager de patrimoniu

Prin Lan Manager de produs în Windows NT a trecut protocolul de autentificare, care este prezent în sistem în trei persoane: protocolul de autentificare LM clasic, semnături criptografice este foarte scăzută; NTLM și NTLM medie v.2 criptografic (începând cu Service Pack 4), cele mai persistente a acestei familii, a existat un buzz după programul L0pht Crack, fixându parolele HASH de la NTML, cum ar fi alune, se pare că este împărțit în părți parola NTLM semisimvolnye, și aceste părți sunt criptate în mod independent.

Windows NT inovare este relația de încredere între domenii care permit utilizatorului la un domeniu pentru a avea acces la alte resurse, fără a fi în contul final.

Bottleneck schema de domeniu clasic este un controler de domeniu, care se confruntă cu o sarcină proporțională cu activitatea utilizatorului cu resurse de rețea: de fiecare dată când un utilizator se conectează la serverul de domeniu acesta din urmă va solicita autentificarea utilizatorului la controlerul de domeniu. Introducere controler de domeniu de backup reduce sarcina pe un controler separat, dar creează trafic suplimentar pe traficul de replicare de rețea între ele.

Kerberos de la paza MIT dovedit

protocol de autentificare de rețea Kerberos își datorează numele gărzii cu trei capete de iad în mitologia greacă, care a fost învins de Heracles în comiterea ultimei feat, al 12-lea. Mai bine cunoscut în transcripția noastră latină a numelui Cerberus.

Protocolul Kerberos a fost dezvoltat la Massachusetts Institute of Technology (MIT) și este proiectat pentru autentificare sigură pentru aplicații client / server prin utilizarea criptografiei secrete-cheie.

Kerberos funcționează:

Bazat pe protocolul de autentificare Kerberos este necesară cunoașterea atât a secretului partajat de către părți înainte de schimbul. Aceasta este parola secretă, sau mai degrabă, preluate din funcția sa.
Să presupunem, Anya și Vanea comunica printr-o rețea și doriți să verifice autenticitatea reciproc. Dacă treci parola în sine sau o funcție a acesteia, secretul va fi compromisă într-o măsură mai mare sau mai mică. Mai mult decât atât, informațiile transmise trebuie să fie dependentă de timp, pentru a se evita repetarea pe o latură de transmisie audio sesiune.
Prin urmare, în loc să trimită parola în sine Anya transmite unele informații și un timbru de timp, de exemplu, Hi, aceasta este Anna acum 12:25 criptare cheia publică. Vania, primirea unui mesaj criptat, extrage ștampila de timp și pune în mesaj: Bună, acesta este Vania, timpul este 12:25, și criptează cheia comună. Anya a primit răspuns Wani, extrase din ea ștampila de timp. După ce Ivan a fost capabil de a extrage ștampila de timp, așa că el știe într-adevăr parola, iar parola este aceeași parolă Ani. Astfel, autentificarea reciprocă se realizează.

Cheia pentru securitatea rețelei kerberizatsiya toate sistemele

Fly în unguent: extinderea interior / exterior a punerii în aplicare a standardului