76 Сервер аутентификации Kerberos Kerberos - является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos - это ПО, построенное по архитектуре "Клиент-Сервер". Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos. Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент: - сервер аутентификации (AS) - сервер выдачи разрешений (tgs). Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей. Kerberos в windows: 1 ключ пользователя генерируется на базе его пароля 2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory. Идентификация - присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией. Аутентификация - это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае - с помощью имени входа и пароля. Авторизация - это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией, Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС. 3 метода аутентификации: 1) Аутентификация по наличию у пользователя уникального объекта заданного типа "У МЕНЯ ЕСТЬ" - смарт-карта, USB-ключ. 2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация "Я ЗНАЮ" - пароль. 3) Аутентификация пользователя по его собственным уникальным хараеткристикам "Я ЕСТЬ" - биометрич.методы Нередко комбинирование методов. Двухфакторная аутентификация. Аутентификация - это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае - с помощью имени входа и пароля. Авторизация - это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией, Парольные системы аутентификации: 1 задание минимальной длины 2 установка требования использования различных букв и цифр 3 периодическая проверка админом на стойкость 4 установка макс и мин сроков жизни пароля 5 ограничение числа неудачных попыток ввода пароля 6 ведение журнала истории паролей