Tecnología

Inicio

Métodos de autenticación de Linux

May 29

Hay docenas de protocolos para Linux autenticación, autorización y contabilidad (AAA) docenas, cada uno siguiendo su propio conjunto de reglas sobre la forma de gestionar los datos de los usuarios. Dos de los jugadores más altamente implementado son Kerberos y diámetro, cada una con sus propias ventajas y desventajas.

Información Kerberos

Kerberos fue desarrollado por el Instituto de Tecnología de Massachusetts y se proporciona de forma gratuita. El método utilizado por Kerberos permite la autenticación mutua, o la capacidad, tanto para el cliente y el servidor para verificar las identidades de cada uno antes de continuar. Kerberos trabaja fuera de la criptografía de clave simétrica en la que tiene que haber un secreto compartido entre dos partes para comunicarse.

Simplificada, la forma en que funciona Kerberos implica el uso de un tercero de confianza, calificó el centro de distribución de claves. Este se divide en dos partes: el servidor de autenticación y el servidor de otorgamiento de tickets. Cada nodo en una red tiene una clave secreta que sólo se sabe que el centro de distribución de claves y ese nodo. Cuando dos nodos quieren interactuar en la red, que reciben una clave compartida temporal para comunicarse de forma segura.

Si bien este sistema suena seguro, hay inconvenientes. Si el servidor de Kerberos es hacia abajo y luego nadie puede conectarse a la red. Además, dado que todas las claves se almacenan en la tercera parte de confianza, si es que una máquina se ve comprometida a continuación, lo mismo ocurre con todo lo demás.

Kerberos ha visto mucho éxito. La mayoría de las distribuciones de Linux vienen con Kerberos agrupados en el sistema operativo.

ejecución de Kerberos

Para instalar Kerberos, asegúrese de que tiene una máquina servidor de Kerberos. Esta será la máquina a través del cual corre todo el tráfico de Kerberos, así que vuelva a comprobar su seguridad para confirmar que es la máquina más bien configurado en la red.

Si bien existe la opción de instalar todo el código de Kerberos a sí mismo, es muy recomendable que adquiera algo así como Kerbnet de Cygnus Solutions o utilizar una empresa como CyberSafe para proporcionar la necesaria Kerberos implementa. Estos paquetes de software vienen con la última versión del código precompilado y con varios binarios para trabajar desde. Ellos ayudan a los administradores de sistemas y profesionales no técnicos aceleran el proceso de implementación de Kerberos. También hay que tener en cuenta que la mayoría de los productos de red de Cisco tienen Kerberos ya ejecutados.

Si desea acercarse al código usted mismo, puede descargarlo desde el sitio web del MIT y siga las instrucciones de configuración detalladas antes de hacer e instalar los programas compilados. Mientras que después de este procedimiento le ayudará a aprender más acerca de Kerberos de lo que de otro modo, también será el proceso más lento y confuso si usted nunca ha trabajado con algo en este formato en bruto en un sistema Unix antes.

Información Diámetro

El diámetro es el sucesor de Radius, TACACS + y otros métodos AAA basado en el mismo origen TACACS. A diferencia de Kerberos, que está diseñado con un modelo cliente-a-servidor en mente, diámetro se basa en un método de igual a igual. Una de las mejoras jefe de seguridad de diámetro es que ya no utiliza UDP (un rápido pero insegura tipo de paquete), al igual que el radio, sino que se basa puramente en TCP y SCTP (dos opciones más seguras para la transferencia de datos).

Diámetro ha sido anunciada como la próxima generación de protocolos de AAA. Sus mejoras de seguridad más Radius hacen que sea superior a cualquiera de sus predecesores. Donde el radio tenía problemas con la fiabilidad y escalabilidad, además de ser incapaz de manejar el acceso remoto, diámetro permite que un solo servidor para manejar la mayor parte de la obra y viene con la capacidad de utilizar extensiones para ampliar las capacidades del protocolo más allá de su construcción original.

Diámetro de la implementación

La forma más fácil de poner en práctica diámetro en su sistema es utilizar OpenDiamater, una herramienta de código abierto para aquellos que deseen experimentar con el protocolo. La obtención del código fuente es relativamente fácil, ya que tiene una página SourceForge.net con todos los datos necesarios. Documentación, sin embargo, es más difícil de encontrar. Los pasos son, afortunadamente, bastante simple.

En primer lugar, instale el Boost y librerías de ACE, ya que son requisitos para OpenDiameter para trabajar. Impulso que puede encontrar en la mayoría de los gestores de paquetes de Linux, mientras que la ECA se debe instalar desde la fuente. Después de eso, establecer las variables de entorno necesarias para cada uno antes de descargar la fuente OpenDiameter y configuración, por lo que e instalarlo en su sistema. A partir de aquí seguir la guía para ejecutar los clientes de prueba y servidores para su sistema para asegurarse de que todo funciona correctamente.