T: Uwierzytelnianie w NetWare.
Zadanie1:
Odszukaj w serwisie internetowym Wikipedii informacje na temat uwierzytelniania i kryptografii.
Zadanie2:
W systemie Novell NetWare stosuje się od wczesnych jego wersji dość wyrafinowaną i powszechnie uważaną za bezpieczną procedurę uwierzytelniania. Wykorzystuje ona mechanizmy kryptograficzne i przebiega w uproszczeniu następująco:
- w bazie katalogowej NDS (NetWare Directory Service) przechowywany jest skrót hasła użytkownika z ziarnem (jest nim identyfikator użytkownika) oraz para kluczy RSA,
- najpierw stacja sieciowa uwierzytelnia się w imieniu użytkownika wobec wybranego serwera (NetWare od wersji 4 stosuje SSO) metodą zawołanie-odzew,
- następnie serwer przesyła klucz publiczny NDS (KNDS), a stacja losuje klucz jednorazowy K1, który prześle serwerowi zaszyfrowany kluczem KNDS,
- K1 posłuży serwerowi do bezpiecznego przekazania klucza prywatnego RSA użytkownika,
- stacja przekształca klucz RSA do postaci GQ - Gillou-Quisquater (asymetryczny algorytm uwierzytelniania - NetWare od wersji 4 nie stosuje RSA) i natychmiast usuwa z pamięci hasło wraz z kluczem RSA,
- klucz GQ posłuży do uwierzytelniania użytkownika w dostępie do zasobów sieci.
Zadanie3:
Podczas logowania do serwera NetWare należy podać następujące informacje:
- nazwę użytkownika (username),
- hasło zabezpieczające (password),
- drzewo NDS w którym przechowywane jest konto użytkownika (tree),
- kontekst, czyli ścieżkę w strukturze NDS do konta uzytkownika (context),
- nazwę serwera zarządzającego NDS (server).
Przykładowe okna logowania do systemu NetWare:
Zarządzanie bezpieczeństwem w NetWare polega na przypisywaniu praw dysponentom. Dysponentem jest dowolny użytkownik lub inny obiekt, który ma prawa do pliku, katalogu lub obiektu NDS. Typy obiektów będące dysponentami:
- obiekt [Root] - do obiektu [Root] przypisywane są prawa dysponenta, które uzyskują wszyscy użytkownicy Obiektowej Bazy Danych. Jest to prosta metoda ustalania praw do publicznie dostępnych plików, takich jak podkatalog PUBLIC,
- obiekty Container (Organization i Organizational Unit). Obiekty Organization powinny posiadać prawa tylko do tych plików, które muszą być dostępne dla całej organizacji. Organization Unit są przypisane do poszczególnych klas użytkowników - można nadać prawa do logicznej grupy użytkowników,
- obiekty Organizational Role i Group - można używać tych obiektów, gdy pliki nie są potrzebne przez wszystkich członków obiektu Container. Te obiekty umożliwiają utrzymywanie ścisłej kontroli nad dostępem do plików, np. ograniczenie dostępu do określonej aplikacji,
- obiekty User - przyznawanie praw obiektom User może być użyteczne tylko wtedy, gdy tylko konkretny użytkownik ma mieć dostęp do pliku lub katalogu,
- dysponent [PUBLIC] - to specjalny obiekt, który nie reprezentuje aktualnego obiektu w drzewie Obiektowej Bazy Danych. Jest to metoda nadawania praw dla wszystkich użytkowników pracujących w sieci, nawet tych niezarejestrowanych.