Прощайте, пароли

NMAS позволяет регистрироваться в сети посредством современных средств аутентификации

В качестве средств аутентификации с помощью NMAS можно использовать устройство для считывания отпечатков пальцев Key Tronic F-Scan, а также идентификационный жетон Vasco Digipass 300

Иногда даже не знаешь, откуда исходит реальная угроза — изнутри или снаружи. Конечно, наиболее заманчивая цель для злоумышленников разных мастей — доступ к учетным записям «суперпользователей», обладающих серьезными полномочиями и имеющих практически неограниченный контроль над приложениями и данными. Если злоумышленникам удалось добраться до учетной записи суперпользователя (его называют корнем системы, супервизором или администратором), это всегда чрезвычайное происшествие, сравнимое с внезапным вылетом финансового директора в Латинскую Америку глубокой ночью.

Для защиты критически важных учетных записей операционной системы NetWare, которая должна обладать железобетонной надежностью, Novell предложила специальный пакет Novell Modular Authentication Service (NMAS) 1.0.2 Enterprise Edition.

NMAS включает в себя клиентские и серверные компоненты, позволяющие производителям средств аутентификации быстро адаптировать свои продукты к работе в среде NetWare. ИТ-службам предлагается в кратчайшие сроки перейти на более безопасные методы аутентификации. С функциональной точки зрения замысел NMAS просто превосходен, но некоторые шероховатости реализации и высокая стоимость не позволяют мне выставить этому продукту отличную оценку.

Основным недостатком альтернативных методов аутентификации с помощью NMAS является чрезмерно высокая цена: на каждого пользователя покупателю придется потратить 49 долл. Если добавить к этому стоимость оборудования, то вырисовывается еще более приличная сумма.

В качестве возможных вариантов средств аутентификации Novell называет устройство для считывания отпечатков пальцев F-Scan, выпускаемое компанией Key Tronic и оснащаемое ПО Identix BioLogon, и идентификационный жетон Digipass 300 компании Vasco Data Security. Считыватель Key Tronic продается за 119,99 долл., а устройство Vasco можно приобрести за 51,50 долл. Умножьте эти цены на численность персонала, и вы нанесете серьезный удар по бюджету любой организации.

Впрочем, надежные средства обеспечения безопасности никогда не были дешевыми. Но если в вашей системе есть уязвимые места, то сэкономив на безопасности, вы потеряете гораздо больше. Кроме того, покупать лицензии NMAS для всех пользователей вовсе не обязательно, имеет смысл ограничить круг лиц теми, кто имеет доступ к важным материалам или обладает широкими полномочиями. Ведь в этом случае недостаточно надежная защита может стать причиной настоящей катастрофы.

Компоненты NMAS устанавливаются на серверах NetWare 5.x, причем на каждом сервере необходимо провести ряд подготовительных операций. Установка в среду NetWare 5.1 потребует обновления криптографической инфраструктуры и инфраструктуры открытых ключей, поэтому заранее приготовьтесь к тому, что для полного завершения процесса установки придется три-четыре раза перезагрузить сервер.

Конечно, установка NMAS могла бы быть менее утомительной, но зато нельзя не отметить, что работать с этим пакетом легко. При помощи компонента ConsoleOne я определил политику безопасности с учетом различных требований, предъявляемых к защите отдельных пользователей и томов. Вся необходимая информация сохраняется в базе данных NDS и тиражируется на другие серверы сети.

С точки зрения пользователя первое существенное отличие заключается в отсутствии поля пароля в окне регистрации в системе NetWare. Пользователь вводит свой идентификатор, а клиентский модуль передает эту информацию на сервер, работающий под управлением NMAS. Считав данные NMAS, хранящиеся в каталоге NDS, клиентский модуль последовательно выполняет операции процедуры регистрации, которые ранее были определены администратором. Пользователь имеет возможность изменить свои полномочия в сеансе Windows, щелкнув мышью на пиктограмме Netware Services и зарегистрировавшись под другим именем.

Попробовав пакет NMAS во взаимодействии со средствами идентификации отпечатков пальцев, с механизмом парольного доступа и с жетонами, я решил остановиться на проверке отпечатков пальцев. Устройство считывания ускоряет процедуру регистрации по сравнению с вводом пароля вручную. Кроме того, в отличие от жетонов потерять собственные отпечатки пальцев невозможно.

Конечно, программные средства NMAS не являются совершенными и обходятся слишком дорого при их тотальном применении. Но если необходимо обеспечить более высокую по сравнению с парольной надежность защиты важнейших учетных записей, возможно, это именно то, что вы ищете.

NMAS 1.0.2 EE