Microsoft Windows Server 2003. Наиболее полное руководство


Основные понятия



Проблема аутентификации пользователя заключается в необходимости проверки того факта, что он является тем, за кого себя выдает. Наука знает множество различных способов проверки подлинности личности, которые упрощенно можно разделить на две группы:

  • проверка личности на факт соответствия некоторым индивидуальным характеристикам человека (проверка отпечатков пальцев, снимков радужки глаза, код ДНК и т. д.). Для применения этой группы методов аутентификации необходимо задействовать специальное оборудование;
  •  проверка личности на факт знания некоторого секрета (пароли, цифровые комбинации и последовательности). В данном случае под секретом понимается некая символьная или цифровая последовательность, факт знания которой позволяет судить о подлинности пользователя. Указанные методы аутентификации наиболее просты в технологическом исполнении. Именно эти методы получили широкое распространение в современных операционных системах. Протокол аутентификации Kerberos также относится к этой группе методов.

При реализации метода аутентификации, базирующегося на проверке факта знания некоторого секрета, необходимо решить следующие вопросы:

  •  каким образом клиент будет получать информацию о секрете?
  •  каким образом клиент будет предоставлять серверу аутентификации информацию о своих полномочиях?
  •  каким образом клиент будет проверять полномочия сервера?
  •  каким образом сервер сможет убедиться в том, что полномочия, предоставленные клиентом, подлинные?
  •  каким образом будет обеспечиваться безопасность взаимодействия сервера и клиента в ходе проверки полномочий?
  •  каким образом будет исключаться возможность использования перехваченных пакетов?

В процедуре аутентификации участвуют три стороны;

  •  клиент, запрашивающий соединение и предоставляющий сведения о своих полномочиях. В качестве клиента может рассматриваться любой субъект системы безопасности. Клиент может подключаться к неограниченному числу различных серверов, используя для аутентификации один "секрет";



  • Начало  Назад  Вперед