[ Pobierz całość w formacie PDF ]
.,  Bezpieczeństwo , od strony 1133.Istnieje kilka systemów SSO na licencji open source:" JOSSO, serwer SSO na licencji open source napisany w języku Java," CAS (ang.Central Authentication Service), opracowany na uniwersytecie Yale (rów-nież w języku Java)," Likewise Open, narzędzie integracyjne, które sprawia, że Active Directory dobrzewspółpracuje z systemami Linux i Unix.Dostępnych jest również mnóstwo systemów komercyjnych.Większość z nich jestzintegrowana z pakietami zarządzania tożsamością, które zostaną omówione w następ-nym punkcie.Systemy zarządzania tożsamością Zarządzanie tożsamością to najnowsze modne hasło w dziedzinie zarządzania użyt-kownikami.Mówiąc po ludzku, oznacza to identyfikowanie użytkowników Twojego sys-temu, poświadczanie ich tożsamości i przyznawanie uprawnień na podstawie tych uwie-rzytelnionych tożsamości.Działania standaryzacyjne w tej dziedzinie prowadzone sąprzez World Wide Web Consortium i The Open Group.Komercyjne systemy zarządzania tożsamością łączą kilka kluczowych pojęć systemuUnix w jeden miły dla oka graficzny interfejs użytkownika wypełniony marketingowymżargonem.Podstawą wszystkich tego rodzaju systemów jest baza danych zawierającauwierzytelnienia użytkowników i dane autoryzacyjne, często zapisana w formacie LDAP.Kontrolę zapewniają takie pojęcia jak grupy systemu Unix, a ograniczone uprawnieniaadministracyjne wymuszane są za pośrednictwem narzędzi w rodzaju sudo.Większośćtego rodzaju systemów została zaprojektowana zgodnie z wymogami prawnymi doty-czącymi odpowiedzialności, monitorowania i dzienników kontroli.Istnieje wiele takich systemów komercyjnych: Identity Management firmy Oracle,Sun Identity Management Suite14, Courion, Avatier Identity Management Suite (AIMS)i BMC Identity Management Suite, by wymienić tylko kilka z nich.Dokonując ocenysystemów zarządzania tożsamością, zwróć uwagę na następujące cechy:14Teraz, gdy firma Sun została przejęta przez Oracle, nie jest pewne, czy system ten będzienadal oferowany jako osobny produkt.SEK.7.12 ZALECANA LITERATURA293" generowanie globalnie unikatowych identyfikatorów użytkownika," możliwość tworzenia, zmiany i usuwania kont użytkowników w całej organizacji,niezależnie od sprzętu i systemu operacyjnego," bezpieczny interfejs WWW do zarządzania z możliwością dostępu z zewnątrz," możliwość łatwego wyświetlania wszystkich użytkowników, którzy mają określonyzestaw uprawnień," prosty sposób podglądu wszystkich uprawnień przydzielonych określonemu użyt-kownikowi," możliwość pozwolenia użytkownikowi na zmianę (i zresetowanie) własnych haseł,z wymuszeniem reguł wyboru silnych haseł," możliwość globalnej zmiany swoich haseł przez użytkowników za pomocą jednejoperacji," mechanizm obiegowej organizacji pracy, np.warstwowy system zatwierdzeń przedprzyznaniem użytkownikowi określonych uprawnień," możliwość koordynacji z bazą danych działu kadr w celu automatycznego zabloko-wania dostępu pracownikom, którzy złożyli wypowiedzenie lub zostali zwolnieni," konfigurowalne rejestrowanie wszystkich zmian i działań administracyjnych," konfigurowalne raporty tworzone na podstawie zarejestrowanych danych (z podzia-łem na użytkowników, daty itd.)," kontrola dostępu oparta na rolach, w tym obsługa kont użytkowników za pomocą ról," interfejs, za pomocą którego osoba odpowiedzialna za rekrutację może poprosićo skonfigurowanie kont zgodnie z określoną rolą," wyjątki w działaniach opartych na rolach, łącznie z obiegiem określającym proceszatwierdzania wyjątków.Wez
również pod uwagę sposób wdrożenia systemu w miejscach, gdzie odbywa sięwłaściwa autoryzacja i uwierzytelnianie.Czy system wymaga zainstalowania wszędziewłasnego agenta, czy dopasowuje się do podległych mu systemów?7.12.ZALECANA LITERATURA7.12Zalecana literatura The Complete Buyer s Guide for Identity Management , dokumentacja firmy SunMicrosystems, 2008 r., sun.systemnews.com/articles/129/4/sec/20930.DODAWANIE NOWYCH U%7łYTKOWNIK�W ROZ.72947.13.
WICZENIA7.13
wiczenia
wiczenie 7.1.W jaki sposób ustalana jest domyślna grupa użytkownika? Jak można jązmienić?
wiczenie 7.2.Wyjaśnij różnice między następującymi wartościami umask: 077, 027,022 i 755.W jaki sposób ustawiłbyś jedną z tych wartości jako domyślną maskę dlanowych użytkowników w ramach całej organizacji? Czy możesz wymusić na swoichużytkownikach używanie standardowej wartości umask?
wiczenie 7.3.Do czego służy plik przesłaniania haseł (shadow)?
wiczenie 7.4.Określ system uwierzytelniania używany przez program login w Twoimsystemie.Jeśli korzysta z PAM, ustal, jakie inne programy w systemie również z niegokorzystają.
wiczenie 7.5.Wymień czynności wymagane w celu dodania użytkownika do systemubez użycia programu useradd.Jakie dodatkowe czynności są wymagane w Twoim lokal-nym środowisku?
wiczenie 7.6.Ustal konwencję nazewniczą dla nowych użytkowników w Twojejorganizacji.Jakie rządzą nią reguły? W jaki sposób zapewniana jest niepowtarzalność nazw?Czy możesz wskazać jakieś wady? Jak są usuwani użytkownicy?
wiczenie 7.7.Znajdz
listę nazwisk (np.z lokalnego spisu telefonów dostępnegoon-line) i wykorzystaj je jako dane wejściowe dla skryptu tworzącego nazwy użytkowni-ków zgodnie z konwencją nazewniczą przyjętą w Twojej organizacji.Ilu użytkownikówudało Ci się dodać przed wystąpieniem kolizji? Ile kolizji było ogółem? Wykorzystaj tedane do oceny konwencji nazewniczej w Twojej organizacji i zaproponuj usprawnienia.
wiczenie 7.8.Napisz skrypt pomocny w monitorowaniu poprawności pliku /etc/passwd(punkty b i e wymagają dostępu do konta użytkownika root, chyba że jesteś zdolny):a) znajdz
wszystkie wpisy z identyfikatorem UID równym 0,b) znajdz
wszystkie wpisy bez hasła (wymaga dostępu do pliku /etc/shadow),c) znajdz
wszystkie zestawy wpisów o zduplikowanych identyfikatorach UID,d) znajdz
wszystkie wpisy ze zduplikowanymi nazwami użytkownika,e) znajdz
wszystkie wpisy bez daty wygaśnięcia (wymaga dostępu do pliku /etc/shadow).
wiczenie 7.9.Napisz moduł PAM, który przeprowadza uwierzytelnianie zapomocą losowo generowanego kodu PIN, wysyłając go na telefon komórkowy użytkow-nika jako wiadomość SMS, a następnie prosi o wpisanie tego kodu w celu weryfikacji.Zainstaluj swój moduł i skonfiguruj go w stosie logowania PAM, aby uzyskać dwustop-niowe uwierzytelnianie [ Pobierz całość w formacie PDF ]