T: Uwierzytelnianie w NetWare.

Zadanie1:

Odszukaj w serwisie internetowym Wikipedii informacje na temat uwierzytelniania i kryptografii.

Zadanie2:

Zapoznaj się z zawartością następującej witryny internetowej:
http://wazniak.mimuw.edu.pl/index.php?title=Bezpieczeństwo_systemów_komputerowych_-_wykład_7:

W systemie Novell NetWare stosuje się od wczesnych jego wersji dość wyrafinowaną i powszechnie uważaną za bezpieczną procedurę uwierzytelniania. Wykorzystuje ona mechanizmy kryptograficzne i przebiega w uproszczeniu następująco:

• w bazie katalogowej NDS (NetWare Directory Service) przechowywany jest skrót hasła użytkownika z ziarnem (jest nim identyfikator użytkownika) oraz para kluczy RSA,
• najpierw stacja sieciowa uwierzytelnia się w imieniu użytkownika wobec wybranego serwera (NetWare od wersji 4 stosuje SSO) metodą zawołanie-odzew,
• następnie serwer przesyła klucz publiczny NDS (KNDS), a stacja losuje klucz jednorazowy K1, który prześle serwerowi zaszyfrowany kluczem KNDS,
• K1 posłuży serwerowi do bezpiecznego przekazania klucza prywatnego RSA użytkownika,
• stacja przekształca klucz RSA do postaci GQ - Gillou-Quisquater (asymetryczny algorytm uwierzytelniania - NetWare od wersji 4 nie stosuje RSA) i natychmiast usuwa z pamięci hasło wraz z kluczem RSA,
• klucz GQ posłuży do uwierzytelniania użytkownika w dostępie do zasobów sieci.

Zadanie3:

Zapoznaj się z zawartością następującej witryny internetowej:
http://www.if.uj.edu.pl/pl/novell.html

Podczas logowania do serwera NetWare należy podać następujące informacje:

• nazwę użytkownika (username),
• hasło zabezpieczające (password),
• drzewo NDS w którym przechowywane jest konto użytkownika (tree),
• kontekst, czyli ścieżkę w strukturze NDS do konta uzytkownika (context),
• nazwę serwera zarządzającego NDS (server).

Przykładowe okna logowania do systemu NetWare:

Zarządzanie bezpieczeństwem w NetWare polega na przypisywaniu praw dysponentom. Dysponentem jest dowolny użytkownik lub inny obiekt, który ma prawa do pliku, katalogu lub obiektu NDS. Typy obiektów będące dysponentami:

• obiekt [Root] - do obiektu [Root] przypisywane są prawa dysponenta, które uzyskują wszyscy użytkownicy Obiektowej Bazy Danych. Jest to prosta metoda ustalania praw do publicznie dostępnych plików, takich jak podkatalog PUBLIC,
• obiekty Container (Organization i Organizational Unit). Obiekty Organization powinny posiadać prawa tylko do tych plików, które muszą być dostępne dla całej organizacji. Organization Unit są przypisane do poszczególnych klas użytkowników - można nadać prawa do logicznej grupy użytkowników,
• obiekty Organizational Role i Group - można używać tych obiektów, gdy pliki nie są potrzebne przez wszystkich członków obiektu Container. Te obiekty umożliwiają utrzymywanie ścisłej kontroli nad dostępem do plików, np. ograniczenie dostępu do określonej aplikacji,
• obiekty User - przyznawanie praw obiektom User może być użyteczne tylko wtedy, gdy tylko konkretny użytkownik ma mieć dostęp do pliku lub katalogu,
• dysponent [PUBLIC] - to specjalny obiekt, który nie reprezentuje aktualnego obiektu w drzewie Obiektowej Bazy Danych. Jest to metoda nadawania praw dla wszystkich użytkowników pracujących w sieci, nawet tych niezarejestrowanych.