Непрямая аутентификация

Решения на основе непрямой аутентификации применяются, когда в системе имеется несколько точек обслуживания и когда затруднительно поддерживать совместимость нескольких отдельных баз данных для аутентификации пользователей. Такие схемы предполагают наличие в системе специального сервера аутентификации. Пример использования сервера аутентификации приведен далее на рис. 10.

Рис. 10 Аутентификация удаленных и мобильных пользователей

Все другие точки обслуживания аутентифицируют принципалов непрямым образом, связываясь с сервером аутентификации всякий раз, когда кто-то пытается зарегистрироваться в системе.

Открытым стандартом для реализации непрямой аутентификации является протокол Radius. Компания Cisco разработала протокол TACACS+ для реализации схем непрямой аутентификации.

Современные корпоративные информационные системы имеют на своих границах соответствующие защитные устройства, которые используют схемы непрямой аутентификации. Например, серверы доступа (Network Access Server, NAS), маршрутизаторы, межсетевые экраны. Когда эти устройства должны устанавливать определенные правила для принципалов (например, разрешить пользователю выход в Internet по протоколам ftp, http и т.д.), необходимо выполнение аутентификации. При этом, обычно, используются серверы аутентификации, работающие по протоколам Radius или TACACS+.