Кафедра ТКС
Идентификация объектов и пользователей
Лекция №10.Тема:
Централизованная аутентификация при удаленном доступе
Учебные вопросы
1.Организация централизованной аутентификации. 2.Система TACACS.
3.Система RADIUS.
1.Организация централизованной аутентификации.
Схема удаленного доступа
Недостатки обычной схемы
1)Необходимо несколько раз выполнять аутентификацию - при входе в сеть на сервере удаленного доступа, а потом еще каждый раз при обращении к каждому ресурсному серверу сети;
2)Пользователь вынужден запоминать несколько разных паролей;
3)Пользователь, должен знать порядок прохождения разных процедур аутентификации в разных операционных системах;
4)Администратор должен заводить учетную информацию о каждом пользователе на каждом сервере.
Схема централизованного контроля доступа
|
Протокол аутентификации СНАР |
Сервер |
|
|
|
Удаленный |
|
удаленного |
клиент А |
|
доступа В |
|
CHAP- ВЫЗОВ |
|
|
CHAP- ОТКЛИК |
|
|
CHAP- ПОДТВЕРЖДЕНИЕ (ОТКАЗ) |
|
А ← В: rВ, B; |
(CHAP- ВЫЗОВ) |
А→ В: A, h (В, rВ, К); (CHAP- ОТКЛИК)
А← В: (CHAP- ПОДТВЕРЖДЕНИЕ ИЛИ ОТКАЗ )
h(•) – MD5
2. Система TACACS.
Схема централизованного контроля удаленного доступа TACACS
Типы соединений серверов удаленного доступа с сервером TACACS
1)AUTH - выполняется только аутентификация;
2)LOGIN - выполняется аутентификация и фиксируется логическое соединение с пользователем;
3)SLIP - выполняется аутентификация, фиксируется логическое соединение, подтверждается IP-адрес клиента.
Пакет AUTH имеет формат (username, password, line, style), где: username - имя пользователя;
password - пароль пользователя (открытый текст);
line - номер порта сервера удаленного доступа, по которому пользователь установил соединение;
style - способ аутентификации.
Пакет AUTH
username |
password |
line |
style |
|
|
|
|
Соединение LOGIN состоит в следующем обмене пакетов:
1)при установлении логического соединения: клиент отправляет пакет LOGIN;
сервер отвечает пакетом REPLY;
2)при подключении к конкретному компьютеру: клиент отправляет пакет CONNECT;
сервер отвечает пакетом REPLY;
3)для завершения сессии:
клиент отправляет пакет LOGOUT; сервер отвечает пакетом REPLY.
Запрос LOGIN
username |
password |
line |
|
|
|
Ответ сервера
result1 
result2 
result3
Запрос CONNECT
username |
password |
line |
destination IP |
destination Port |
|
|
|
|
|
Ответ сервера
result1 |
result2 |
result3 |
|
|
|
Сервер TACACS может выполнять аутентификацию и авторизацию удаленных пользователей различными способами:
1)использование встроенного механизма аутентификации той ОС, под управлением которой работает сервер;
2)использование централизованных справочных систем ОС: NIS или NIS+ для ОС UNIX, NDS ОС NetWare, Directory Services ОС Windows NT и др.;
3)использование систем аутентификации, основанных на одноразовых паролях (например, системы SecurID);
4)передача запросов другим системам аутентификации, например системе Kerberos.
Протокол TACACS+
