По мере того как системы становятся все более распределенными, регистрация и идентификация значительно усложняются. Однако новые продукты для однократной регистрации позволяют упростить доступ в сеть.
Каждое утро многих из нас начинается с того, что мы садимся за ПК и набираем пароль для того, чтобы сетевая операционная система могла нас идентифицировать. В течение дня нам может потребоваться ввести дополнительные пароли - один для сервера электронной почты, другой - для сервера базы данных, третий - для мэйнфрейма или другой унаследованной системы.
Если пользователю приходится помнить пять-шесть паролей, то время от времени он забывает какой-либо из них, и эта амнезия сказывается, в конечном итоге, на отделе ИС - именно туда обращается пользователь для восстановления забытой информации. Нечего и говорить, что подобная ситуация серьезно отражается на продуктивности как самих пользователей, так и персонала отдела ИС.
По этой и ряду других причин компании с нетерпением ждут технологии поддержки централизованной идентификации. Такая услуга может предоставляться в разных формах, но чаще всего она опирается на систему однократной регистрации, инфраструктуру с открытыми ключами или метакаталог.
Идея однократной регистрации или централизованной идентификации достаточно нова. Если компания хотела воспользоваться преимуществами этой технологии, то она была вынуждена создавать такую систему самостоятельно посредством написания своих собственных сценариев. Но за последние несколько лет рынок предложил целый спектр подобных продуктов, так что компании получили выбор при реализации централизованных услуг идентификации.
ПРЕДСТАВЬТЕСЬ, ПОЖАЛУЙСТА
Переход к децентрализованным средам сделал корпоративные сети более гибкими, но он создал также и дополнительные проблемы пользователям, так как они вынуждены теперь преодолевать множество сложностей, чтобы добраться до сетевых ресурсов. в случае распределенных гетерогенных систем и платформ централизованная защита и идентификация затруднены, если вообще возможны.
При всем презрении администраторов ИТ к идее централизации ресурсов, они тем не менее вынуждены обратиться к ней как к единственному способу сделать распределенные системы более управляемыми. Постепенно, но верно, благодаря кластеризации серверов, метакаталогам и распределенной вычислительной среде (Distributed Computing Environment) разрозненные системы соединяются мостами.
Даже когда распределенные системы могут взаимодействовать между собой без проблем и позволяют привязать ресурсы друг к другу и к конечным пользователям, проблема нескольких паролей по-прежнему остается актуальной. Один из подходов к сокращению числа паролей состоит в извлечении максимума из того, чем сеть уже располагает. "Главное, к чему стремятся заказчики, - это извлечь как можно больше из того, что позволяет сделать их сетевая инфраструктура, - говорит Джо Карузилло, менеджер IBM по продукту для глобальной регистрации (Global Sign-On, GSO), поставки которого начались летом прошлого года. - Люди не хотят начинать все сначала, они хотят вносить как можно меньше изменений и добавлений в имеющееся оборудование, программное обеспечение и приложения".
В случае GSO пользователь должен указать информацию о себе для своего локального клиента в отображаемом диалоговом окне. Идентификация является локальной, поэтому пароль по сети не передается (см. Рисунок 1).
Благодаря Global Sign-On компании IBM пользователю достаточно зарегистрироваться однажды. Появляющееся диалоговое окно сообщает, к каким приложениям он имеет доступ.
Если локальная идентификация прошла успешно, то пользователь получает доступ в сеть, в том числе к хост-системам. Клиент обращается к серверу GSO, а тот, в свою очередь, сообщает пользователю, к каким приложениям и ресурсам он имеет право доступа. При выборе пользователем приложения необходимая идентификационная информация предоставляется сервером GSO защищенным образом.
IBM интегрировала свой продукт с TME 10 компании Tivoli Systems, с помощью которого администраторы могут управлять системами GSO. GSO поддерживает серверы AIX, Solaris и Windows NT, а также клиенты OS/2 Warp, Windows NT и Windows 95.
Вследствие приверженности IBM к DCE, набору технологий и служб для интеграции распределенных систем, текущая версия сервера GSO выполняется на сервере DCE, а это означает, что клиент в действительности осуществляет регистрацию в DCE.
По словам Карузилло, интерес к технологии однократной регистрации IBM проявляют пока только крупные компании, и такая ситуация вряд ли скоро изменится, так как малые и средние компании, скорее всего, предпочтут подождать продуктов следующего поколения.
Несмотря на всю привлекательность однократной регистрации для компаний любого размера, ее развертывание идет медленными темпами. "Мы видим огромный интерес к однократной регистрации, - говорит Карузилло. - Все спрашивают о ней, и мы продемонстрировали продукт множеству людей. Люди хотят знать, как он работает, во сколько он им обойдется, какие платформы он поддерживает. Однако, когда речь заходит о заказе и установке продукта, компании оказываются к этому не готовы - видимо, продукт появился слишком рано".
И ЗАЩИТА В УМЕ
Кроме IBM разработкой и продажей продуктов для однократной регистрации занимается еще несколько компаний - все они надеются извлечь немалую выгоду из этого высокодоходного сектора рынка. Их продукты не только избавляют пользователей от необходимости запоминания нескольких паролей, но и уделяют особое внимание защите, благодаря чему администраторы могут распространить принятые правила защиты на однократную регистрацию или определить профили с указанием, какие пользователи к каким ресурсам имеют доступ.
Компания CKS, одна из первых фигур на рынке продуктов для однократной регистрации, была создана в 1983 году. Ее продукт MyNet обеспечивает межплатформенную защищенную среду для однократной регистрации с централизованным управлением. Она использует сервисы защиты и идентификации мэйнфреймов OS/390, с которыми многие компании работают уже долгие годы.
CKS не забыла, что многие клиенты с унаследованными системами располагают также гетерогенными распределенными системами. MyNet поддерживает клиентов от OS/2 и DOS до различных конфигураций Windows, а также сетевые операционные системы производства Novell, Microsoft и IBM. Что касается приложений, MyNet работает с несколькими пакетами, в том числе с базами данных Oracle, DB/2 и Sybase, а также с такими продуктами для обмена сообщениями, как cc:Mail и Lotus. Список поддерживаемого унаследованного оборудования и платформ включает AS/400, MVS, DEC VMS, Solaris, HP-UX и IBM AIX.
В 1997 г. CKS заявила о своей стратегии в отношении NT, включающей защищенный сервер идентификации Windows NT, интегрируемый с сервисами идентификации OS/390 в MyNet 2.2.
Свое предложение в области однократной регистрации имеет и Computer Associates, чья Unicenter TNG позволяет управлять всем - от настольной системы до глобальной сети на тысячи пользователей. Модуль однократной регистрации для TNG работает с серверами UNIX и Windows NT, а также с клиентами Windows 95 и NT.
Данный модуль включает комплект инструментов, с помощью которых администраторы могут создать собственные сценарии регистрации. Наличие подобного комплекта значительно упрощает добавление новых приложений к системе. Например, пользователям не потребуется изучать новые процедуры регистрации или выбирать другие пароли для этих приложений. После создания или изменения сценарий регистрации может быть протестирован на компьютере под Windows до загрузки на работающий сервер.
Администраторы также имеют возможность как полного, так и частичного тиражирования информации из базы данных однократной регистрации на другой сервер, чтобы тот мог производить регистрацию, если основной сервер выйдет из строя.
Другое преимущество модуля однократной регистрации TNG состоит в том, что он интегрируется с платформой Unicenter, а это означает, что всеми относящимися к защите правилами можно управлять из одного места. Продукт использует функции защиты Unicenter и позволяет хранить информацию о защите только на сервере TNG, что гарантирует конфиденциальность идентификаторов и паролей.
Axent Technologies также имеет предложение в области однократной регистрации. Ее OmniGuard/Enterprise Resource Manager (ERM) - это серверный программный пакет, действующий как посредник между клиентами и приложениями. Пользователь регистрируется на защищенном сервере идентификации ERM, а тот затем находит профиль пользователя в своем каталоге и дает добро на доступ пользователя к разрешенным ему ресурсам.
Platinum Technologies осенью 1997 года объявила о выходе обновления для ее пакета AutoSecure Single Sign-On (SSO). Этот программный продукт поддерживает не только унаследованные системы, к примеру мэйнфреймы MVS компании IBM, но также и платформы для клиент-серверных архитектур, такие как NetWare, Windows NT и различные разновидности UNIX.
AutoSecure SSO предоставляет администраторам детальный контроль за тем, кто к чему имеет доступ. Например, администратор может дать сотруднику бухгалтерии доступ к финансовой базе данных, но не к серверам отдела исследований и разработок. Аналогично разработчик не будет иметь прав на доступ к информации по кадрам.
AutoSecure SSO позволяет сотрудникам в локальной сети, а также работающим на дому или находящимся в командировке получить доступ ко всем ресурсам, на которые они имеют право.
CyberSafe - еще одна компания, подошедшая к однократной регистрации со стороны защиты. Ее TrustBroker Security Suite включает несколько компонентов. TrustBroker Security Server осуществляет централизованную идентификацию пользователей для приложений и санкционирует использование ими конкретных ресурсов. TrustBroker Client - это многоплатформенный компонент, благодаря которому для получения доступа к сетевым ресурсам пользователям достаточно ввести пароль один раз. С помощью TrustBroker Web Agent пользователи могут защищенным образом идентифицировать себя для сервера Web, а он затем уже сам принимает решение о правах доступа.
НА ПУБЛИКЕ
Что касается защиты централизованной идентификации, IBM, Platinum Technologies и другие поддерживают DCE-совместимые приложения. DCE Security Service, являющаяся частью спецификации DCE, обеспечивает идентификацию, авторизацию и управление бюджетами в сети. Многие продукты однократной регистрации поддерживают также электронные идентификационные ключи независимых производителей и смарт-карты. Некоторые предоставляют поддержку для Kerberos. Но последним поветрием среди производителей является инфраструктура с открытыми ключами с возможностью подключения традиционных продуктов однократной регистрации.
С осознания компаниями того факта, что их брандмауэры - далеко не единственный рубеж защиты сетевых ресурсов, началось создание инфраструктур, в которых меры защиты учитываются с самого начала. PKI, т. е. система для управления открытыми ключами и цифровыми сертификатами, а также для централизованной идентификации различных сетевых ресурсов, вполне отвечает такой потребности. (Более подробное рассмотрение данной темы читатель может найти в статье А. Карве "Инфраструктура с открытыми ключами" в декабрьском номере LAN за 1997 год.)
Основной причиной роста популярности PKI является использование ею методов шифрования с открытыми ключами и цифровых сертификатов - получивших широкое распространение стандартизованных технологий. PKI имеет над Kerberos то преимущество, что данная инфраструктура не предусматривает наличия постоянно доступного сервера для хранения мандатов. О преимуществах и недостатках Kerberos и PKI можно прочесть во врезке "Услуги идентификации".
Заложенная в шифровании с открытыми ключами идея состоит в том, что каждый пользователь получает комплект алгоритмически связанных между собой ключей - личный ключ остается с пользователем все время, а открытый ключ является общедоступным. При такой схеме пользователь получает открытый ключ другого лица и зашифровывает с его помощью сообщение, предназначенное данному лицу. Зашифрованный текст можно расшифровать только с помощью парного личного ключа.
Помимо этого, пользователи могут также получить цифровые сертификаты X.509 для своей пары открытого/личного ключей. Сертификат служит доказательством, что использующее конкретную пару ключей лицо является действительно тем, за кого оно себя выдает. (Более подробно о цифровых сертификатах смотри в статье А. Карве "Кто ты такой" в апрельском номере LAN за 1997 год.)
Несмотря на использование PKI в таких приложениях, как электронная почта и даже электронная коммерция, они еще не получили широкого распространения в корпоративных сетях. Но времена меняются.
Несколько производителей, в том числе Entrust Technologies, Netscape Communications и Verisign разработали продукты для реализации различных компонентов PKI. Netscape и Verisign предоставляют средства, с помощью которых компания может выступать в роли уполномоченного по выдаче сертификатов. Продукт Entrust позволяет не только выпускать цифровые сертификаты, но и управлять как сертификатами, так и ключами.
В настоящее время типичным способом интеграции инфраструктуры с открытыми ключами с имеющейся архитектурой является развертывание ее совместно с одним из упомянутых выше традиционных пакетов для однократной регистрации. Некоторые из этих продуктов либо уже совместимы с PKI, либо станут совместимы в недалеком будущем. Например, в январе 1998 года CyberSafe объявила, что ее TrustBroker Security Suite будет интегрирован с серией продуктов для PKI компании Entrust.
Для заказчиков, покупающих PKI-совместимые продукты однократной регистрации, это означает, что их клиенты могут воспользоваться сертификатами своих ключей для регистрации на сервере однократной регистрации. "Конечно, приложения должны поддерживать PKI, но подобная поддержка становится все более распространенной, особенно в новых приложениях, таких как защищенная почта", - говорит Брайан О`Хиггинс, исполнительный вице-президент и ответственный за технологии в Entrust.
"Это вопрос курицы и яйца: PKI бесполезна, если приложения не могут с ней взаимодействовать", - полагает он. Клиент-серверные приложения, используемые в финансовом секторе, будут в числе первых совместимы с PKI, так как таким институтам, как банки и брокерские фирмы, необходима надежная и последовательная защита. Поддержка для приложений типа электронная почта появится позже.
"PKI еще очень молода, а подключение к ней приложений - это уж совсем новое дело. Но при наличии такой инфраструктуры вы сможете использовать одни и те же мандаты при регистрации в любом приложении", - поясняет О`Хиггинс и добавляет, что из 30 или около того компаний на рынке продуктов для однократной регистрации шесть уже заявили о совместимости их разработок с PKI компании Entrust.
О`Хиггинс полагает, что даже с ростом популярности PKI компании будут продолжать использовать традиционную однократную регистрацию во внутренних сетях. Но в будущем инфраструктуры однократной регистрации для доступа к новым приложениям не потребуется, потому что все они будут связаны с PKI.
В однородной инфраструктуре с открытыми ключами пользователи будут регистрироваться локально на своей рабочей станции. Специальное программное обеспечение на рабочей станции разблокирует сертификат открытого ключа и передаст его любому приложению, которому он потребуется. При наличии традиционного пакета однократной регистрации (а такая реализация будет поначалу наиболее распространенной) разблокированный сертификат открытого ключа будет передан по сети на сервер однократной регистрации, чтобы тот мог осуществлять проверку полномочий доступа данного пользователя к унаследованным системам.
Мандаты PKI идентифицируют уполномоченных пользователей и позволяют проверить, что это действительно те, за кого они себя выдают. По словам О`Хиггинса, они предоставляют ценную информацию о личности пользователя, но, что действительно необходимо, - так это способ определения того, что пользователи имеют право делать, чего современные идентификационные сертификаты не позволяют.
В дополнение к этим мандатам следующим логическим шагом было бы создание чего-либо типа атрибутивных сертификатов с такой дополнительной информацией, как права доступа пользователя на различные сетевые ресурсы. О`Хиггинс рассматривает эту технологию как реальное решение проблемы однократной регистрации, но он признает, что она достаточно сложна в реализации, и в настоящее время заказчики не проявляют к ней практического интереса. По утверждениям О`Хиггинса, Entrust работает в данном направлении, но вряд ли подобная технология появится в реальных сетях ранее, чем через два года.
ВСЕ ВМЕСТЕ
Другой подход к централизованной идентификации состоит в однократной регистрации с применением глобального каталога.
За последние несколько лет вы, вероятно, немало слышали о так называемом "метакаталоге" и таких стандартах, как упрощенный протокол доступа к каталогу (Lightweight Directory Access Protocol, LDAP). Эти технологии предназначены как для интеграции различных каталогов, так и для однократной регистрации.
Метакаталоги типа VIA компании Zoomit не требуют модификации имеющихся электронной почты, операционных систем и баз данных. Скорее, они интегрируются с разными каталогами и предоставляют для доступа к ним единый интерфейс. Изменения в профиле пользователя можно сделать через метакаталог, и эта информация будет автоматически отражена в соответствующей службе или службах каталогов.
Zoomit поддерживает LDAP, стандарт доступа к каталогам, с помощью которого любой LDAP-совместимый клиент может защищенным образом получать информацию службы каталогов. NetTalk и NetJunction компании WorldTalk также поддерживают LDAP, впрочем, как и ряд продуктов других производителей.
После объединения пользовательских профилей из различных каталогов под одним интерфейсом задача реализации однократной регистрации (весьма вероятно, в рамках PKI) намного упрощается. Например, компания может интегрировать в метакаталог не только традиционные каталоги, но также и сервер защиты, содержащий секретные ключи, пароли и другие виды мандатов. Благодаря тому что все необходимые мандаты находятся в одном и том же месте, после регистрации в метакаталоге пользователи могут получить доступ ко всем системам, на работу с которыми они имеют полномочия.
И конечные пользователи - далеко не единственные, кто выиграет от применения такой технологии: благодаря метакаталогу администраторы получают единую точку администрирования.
НОСИТЕЛЬ СТАНДАРТОВ
Учитывая все разнообразие продуктов для однократной регистрации, вопрос о наличии стандартного способа заставить все эти технологии работать вместе вполне понятен. Ответ - и да, и нет: нет, потому что все подобные продукты, хотя они и служат достижению одной и той же цели, делают это по-разному; да, потому что отраслевой консорциум The Open Group, объединяющий свыше 200 членов, разрабатывает спецификацию для решения данного вопроса.
С точки зрения The Open Group, одно из основных различий между унаследованным подходом (регистрация в нескольких системах) и однократной регистрацией состоит в том, каким образом предоставляются мандаты. Унаследованный подход обычно подразумевает, что пользователь взаимодействует с основным доменом, часто соответствующим операционной системе; после предоставления мандатов он получает доступ к сервисам и приложениям.
Но для доступа к сервисам и приложениям в неосновном домене пользователь должен предоставить другие мандаты и пройти через отдельную процедуру регистрации. В системе однократной регистрации все идентификационные данные и мандаты, необходимые для доступа к любому неосновному домену, пользователь сообщает на этапе основной регистрации (см. Рисунок 2).
(1x1)При однократной регистрации пользователь предоставляет все необходимые для доступа в неосновной домен идентификационные данные и мандаты во время регистрации в основном домене.
Несмотря на достигаемое упрощение идентификации в распределенных средах, некоторые организации никак не могут решиться выбрать тот или иной пакет однократной регистрации из-за отсутствия общепринятого стандарта. Поэтому The Open Group разработала стандарт на однократную регистрацию (Single Sign-On Standard) под кодовым названием XSSO.
Цель XSSO - спецификация единого пользовательского интерфейса однократной регистрации для корпоративных приложений. Такой интерфейс должен быть независим от типа идентификационной информации (такой как Kerberos, DCE, PKI, NetWare, Windows NT и UNIX) и позволять менять ту часть идентификационной информации, за которую пользователь отвечает сам.
XSSO определяет также интерфейс управления бюджетами пользователей с поддержкой функций создания, удаления и модификации бюджетов и с возможностью настройки атрибутов каждого индивидуального бюджета.
В настоящее время интерес к разработкам The Open Group проявили несколько производителей SSO, но ни один из них пока не заявил о полномасштабной поддержке спецификации.
Информацию о стандарте The Open Group можно найти по адресу: http://www.rdg.opengroup.org/public/tech/security/sso/sso_intro.html.
ЛУЧШЕ ОДИН РАЗ ПОПРОБОВАТЬ
Сегодня многие из нас по-прежнему путаются в процедурах регистрации, паролях и идентификаторах, но ситуация начинает постепенно меняться к лучшему.
Компании осознают, что привязывание всех ресурсов к архитектуре однократной регистрации обойдется им дешевле, чем обеспечение пользователей новыми паролями и процедурами регистрации каждый раз при появлении нового сетевого приложения. Отделы ИТ станут получать меньше звонков от пользователей, забывших свои пароли. Кроме того, конечные пользователи не будут каждый день терять время на преодоление многочисленных барьеров на пути в сеть.
Если однократная регистрация включена в вашу повестку дня, то вы имеете выбор среди нескольких решений. Если же однократная регистрация не требуется прямо сейчас, то вы много выиграете, подождав появления стандартов и зрелых продуктов.
Анита Карве - помощник редактора Network Magazine. С ней можно связаться по адресу: akarve@mfi.com.
СРАВНЕНИЕ ОТКРЫТЫХ КЛЮЧЕЙ С KERBEROS
Услуги идентификации
Большинство централизованных систем идентификации поддерживают один или более видов мандатов. Двумя наиболее распространенными типами инфраструктур идентификации являются Kerberos и инфраструктура с открытыми ключами. Обе они используют ключи, но идентификация осуществляется ими по-разному.
Kerberos была разработана в 1978 году, но достаточно зрелая версия появилась только в 1994 году. Эта технология использует секретные ключи для шифрования и идентификации. Компания должна выделить отдельный сервер в качестве сервера Kerberos для управления ключами пользователей.
С помощью Kerberos пользователи могут как идентифицировать себя, так и избежать подслушивания передачи. Пароли никогда не передаются в открытом виде; обычно они шифруются в соответствии с DES, так что перехватить пароль очень непросто.
Недостатком Kerberos является то, что все ключи находятся в одном хранилище, а не на конкретных клиентах. Таким образом, если сервер будет взломан, то вся система окажется под угрозой. Кроме того, если пользователь захочет поработать в автономном режиме, например, чтобы прочитать зашифрованную электронную почту, то он может столкнуться с проблемами из-за отсутствия доступа к серверу Kerberos.
Системы на базе инфраструктуры с открытыми ключами, получившие большую поддержку, чем та, на которую Kerberos могла когда-либо рассчитывать, устраняют некоторые из этих недостатков. Например, ключи не хранятся в одном месте. Сама природа открытых ключей предполагает, что пользователь должен иметь контроль за своим личным ключом, а парный открытый ключ - храниться в отдельном общедоступном каталоге.
Благодаря тому что пользователи хранят свои личные ключи и соответствующие им цифровые сертификаты на жестком диске клиентской машины (или на смарт-карте), они могут защищенным образом зарегистрироваться на своем персональном компьютере, даже если не имеют соединения с сетью, например, в самолете.
Другая важная особенность PKI - возможность четкого определения срока годности ключей и сертификатов. Конечно, важно, чтобы срок службы ключа не был неограниченным, но не менее важно, чтобы конечным пользователям не приходилось отвлекаться на обновление своих мандатов. К счастью, технология открытых ключей позволяет обновлять ключи и сертификаты прозрачным образом для пользователей и сетевых приложений.
Растущее использование открытых ключей и сертификатов для целей идентификации вовсе не обязательно свидетельствует о скорой смерти Kerberos. Здравый смысл говорит, что обе инфраструктуры будут продолжать существовать, так как каждая имеет свои достоинства и недостатки. Например, в следующую версию Windows NT (появление которой ожидается в этом году) Microsoft собирается включить поддержку как Kerberos, так и системы с открытыми ключами. Если Kerberos предназначена для обеспечения надежной идентификации, то PKI может служить и для идентификации, и для проверки полномочий, и для шифрования.
Таким образом, несмотря на растущую популярность PKI по сравнению с Kerberos, обе технологии выполняют важные функции защиты и, как ожидается, будут мирно сосуществовать друг с другом.
Ресурсы Internet
Axent Technologies www.axent.com
CKS www.cksweb.com
Computer Associates www.cai.com
CyberSafe www.cybersafe.com
Entrust Technologies www.entrust.com
IBM www.networking.ibm.com
Netscape Communications www.netscape.com
Platinum Technologies www.platinum.com
Verisign www.verisign.com
Worldtalk www.worldtalk.com
Zoomit www.zoomit.com