Прозрачная авторизация для приложения на Oracle Weblogic Server / Хабр

Прозрачная авторизация для приложения на Oracle Weblogic Server / Хабр Сертификаты
На чтение 11 мин. Просмотров 10 Опубликовано
Содержание
  1. Что такое kerberos?
  2. Что такое single sign-on?
  3. Что такое spnego?
  4. Идентификация и аутентификация
  5. Настройка kerberos авторизации на сайте iis | windows для системных администраторов
  6. Преимущества kerberos
  7. Протокол kerberos
  8. Теперь перейдем к практике
  9. Электромеханический турникет трипод kerberos | трехштанговый турникет от dormakaba

Что такое kerberos?

Kerberos — это протокол сетевой аутентификации, который был впервые разработан Технологическим институтом Массачусетса. Kerberos является безопасным методом аутентификации запроса на услугу в сети и предназначен для обеспечения надежной аутентификации для клиент-серверных приложений с использованием криптографии с секретным ключом.

Что такое single sign-on?

Единый вход (SSO) — это механизм, посредством которого одно действие аутентификации пользователя, позволяет пользователю получить доступ ко всем компьютерам и системам, где у него есть разрешение на доступ, без необходимости вводить несколько паролей. Ранее введенные учетные данные будут прозрачно повторно использоваться различными компонентами.

Что такое spnego?

SPNEGO — это простой и защищенный механизм переговоров GSSAPI. Это стандартизованный интерфейс для аутентификации (например, JNDI для поиска в каталогах), реализация по умолчанию для SPNEGO под Windows — это Kerberos (например, LDAP для JNDI). В терминологии Microsoft в качестве синонима SPNEGO используется «Интегрированная аутентификация Windows». В Windows Integrated Authentication могут быть согласованы протоколы Kerberos или NTLM.

Идентификация и аутентификация

Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система “знает” пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т.д. Идентификация нужна и для других системных задач, например, для ведения журналов событий.

В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация – установление подлинности – проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль.

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. В соответствии с рассмотренной ранее моделью многоуровневой защиты, аутентификация пользователя компьютера относится к уровню защиты узлов.

Обычно выделяют 3 группы методов аутентификации.

  1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски “I have” (“у меня есть”). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
  2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация – “I know” (“я знаю”). Например, аутентификация по паролю. Более подробно парольные системы рассматриваются далее в этом разделе.
  3. Аутентификация пользователя по его собственным уникальным характеристикам – “I am” (“я есть”). Эти методы также называются биометрическими.

Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация – пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.

Наиболее распространенными на данный момент являются парольные системы аутентификации. У пользователя есть идентификатор и пароль, т.е. секретная информация, известная только пользователю (и возможно – системе), которая используется для прохождения аутентификации.

В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Операционные системы, как правило, проводят аутентификацию с использованием многоразовых паролей. Совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя составляют учетную запись пользователя.

Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особой внимание.

Про сертификаты:  Туториал по Oracle Application Express. Обзор IDE / Хабр

Как отмечалось при рассмотрении стандарта ISO 17799, рекомендуется, чтобы пользователи системы подписывали документ о сохранении конфиденциальности пароля. Но нарушитель также может попытаться подобрать пароль, угадать его, перехватить и т.д.

  1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
  2. Установка требования использовать в пароле разные группы символов – большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
  3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак, таких как подбор паролей “по словарю” (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как “1234”).
  4. Установка максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей.
  5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).
  6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.

Современные операционные системы семейства Windows позволяют делать установки, автоматически контролирующие выполнение требований 1,2,4-6. При использовании домена Windows, эти требования можно распространить на все компьютеры, входящие в домен и таким образом повысить защищенность всей сети.

Но при внедрении новых механизмов защиты могут появиться и нежелательные последствия. Например, требования “сложности” паролей могут поставить в тупик недостаточно подготовленного пользователя. В данном случае потребуется объяснить, что с точки зрения операционной системы Windows надежный пароль содержит 3 из 4 групп символов (большие буквы, малые буквы, цифры, служебные знаки).

Аналогичным образом, надо подготовить пользователей и к внедрению блокировки учетных записей после нескольких неудачных попыток ввода пароля. Требуется объяснить пользователям, что происходит, а сами правила блокировки должны быть хорошо продуманы. Например, если высока вероятность того, что пользователь заблокирует свою запись в период отсутствия администратора, лучше ставить блокировку не насовсем, а на какой-то срок (30 минут, час и т.д.).

Это приводит к тому, что должна быть разработана политика управления паролями, сопровождающие ее документы, а потом уже проведено внедрение.

При использовании ОС семейства Windows, выявить учетные записи со слабыми или отсутствующими паролями можно, например, с помощью утилиты Microsoft BaselineSecurityAnalyzer.

Настройка kerberos авторизации на сайте iis | windows для системных администраторов

Пошаговая инструкция по настройке на веб-сайте IIS на Windows Server 2021 R2 прозрачной авторизации доменных пользователей в режиме SSO (Single Sign-On) по протоколу Kerberos.

На веб сервере запустите консоль IIS Manager, выберите  нужный сайт и откройте раздел Authentication. Как вы видите, по умолчанию разрешена только анонимная аутентификация (Anonymous Authentication). Отключаем ее и включаем Windows Authentication (IIS всегда сначала пытается выполнить анонимную аутентификацию).

IIS - Windows AuthenticationОткрываем список провайдеров, доступных для  Windows аутентификации (Providers). По умолчанию доступны два провайдера: Negotiate и NTLM. Negotiate – это контейнер, который в качестве первого метода проверки подлинности использует Kerberos, если эта аутентификация не удается, используется NTLM. Необходимо, чтобы в списке провайдеров метод Negotiate стоял первым.

Провайдеры включаем Windows Authentication

Следующий этап – регистрация Service Principal Name (SPN) записей для имени сайта, к которому будут обращаться пользователи. В том случае, если сайт IIS должен быть доступен только по имени сервера, на котором он расположен (http://server-name или http://server-name.contoso.com), создавать дополнительные SPN записи не нужно (SPN записи уже имеются в учетной записи сервера в AD). При использовании адреса сайта, отличного от имени хоста, или при построении веб-фермы с балансировкой, придется привязывать дополнительные записи SPN к учётной записи сервера или пользователя.

Про сертификаты:  UTL_HTTP Without Using Certificate | sql1

Предположим, у нас имеется ферма IIS серверов. В этом случае оптимально создать отдельную учетную запись в AD и привязать SPN записи к ней. Из-под этой же учетной записи будут запускать  целевой Application Pool нашего сайта.

Создадим доменную учетную запись iis_service. Убедимся, что SPN записи для этого объекта не назначены (атрибут servicePrincipalName пустой).

Пустой атрибут servicePrincipalName Предположим, что сайт должен отвечать по адресам _http://webportal and _http://webportal.contoso.loc. Мы должны прописать эти адреса в SPN атрибут служебной учетной записи

Setspn /s HTTP/webportal contosoiis_service
Setspn /s HTTP/webportal.contoso.loc contosoiis_service

Setspn /s HTTP/webportal.contoso.loc contosoiis_serviceТаким образом, мы разрешим этой учетной записи расшифровывать тикеты Kerberos при обращении пользователей к данным адресам и аутентифицировать сессии.

Проверить настройки SPN у учетной записи можно так:

setspn /l iis_service

setspn /l iis_service

Совет. Kerberos не будет работать корректно при наличии дублирующих SPN у разных записей домена. С помощью следующей команды, убедитесь, что дубликатов SPN в домене нет: setspn –x

Следующий этап – настройка в IIS Application Pool  для запуска из-под созданной сервисной учетной записи.

Выберите Application Pool сайта (в нашем примере это DefaultAppPool).

DefaultAppPoolОткройте раздел настроек Advanced Settings  и перейдите к параметру Identity.

Расширенные настройки пула IISИзмените  его с ApplicationPoolIdentity на contosoiis_service.

identity

Затем в консоли IIS Manager перейдите на свой сайт и выберите секцию Configuration Editor.

В выпадающем меню перейдите в раздел system.webServer > security > authentication > windowsAuthentication

useAppPoolCredentials

Измените useAppPoolCredentials на True.

Тем самым мы разрешим IIS использовать доменную учетку для расшифровки билетов Kerberos от клиентов.

Перезапустим IIS командой:

iisreset

iisresetАналогичную настройку нужно выполнить на всех серверах веб-фермы.

Протестируем работу Kerberos авторизации, открыв в браузере клиента (браузер нужно предварительно настроить для использования Kerberos) адрес _http://webportal.contoso.loc

Убедится, что для авторизации на сайте используется Kerberos можно с помощью инспектирования  HTTP трафика утилитой Fiddler (ранее мы уже упоминали эту утилиту).

Запускаем Fiddler, в браузере открываем целевой сайт. В левом окне находим строку обращения к сайте. Справа переходим на вкладку Inspectors. Строка Authorization Header (Negotiate) appears to contain a Kerberos ticket, говорит о том, что для авторизации на IIS сайте использовался протокол Kerberos.

Authorization Header (Negotiate) appears to contain a Kerberos ticket

Преимущества kerberos

Использование керберос дает возможность администраторам отключить проверку подлинности NTLM, как только все сетевые клиенты смогут аутентифицировать Kerberos. Протокол Kerberos более гибкий и эффективный, чем NTLM, и более безопасный.


Схема взаимодействия:

Протокол kerberos

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования.

В сетях Windows (начиная с Windows’2000 Serv.) аутентификацияпо протоколу Kerberos v.5 (RFC 1510) реализована на уровне доменов.

Перед тем, как рассмотреть порядок работы Kerberos, разберем зачем он изначально разрабатывался. Централизованноераспределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ, который используется для взаимодействия с центром распределения ключей (сервером ключей).

Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ.

Про сертификаты:  Подарочные сертификаты на отдых в Москве

Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos – это программная система, построенная по архитектуре “клиент-сервер”.

Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).

Серверная часть Kerberos называется центром распределения ключей (англ. Key DistributionCenter, сокр. KDC) и состоит из двух компонент:

Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей. Схема функционирования протокола Kerberos представлена на
рис.
5.1.

Пусть клиент C собирается начать взаимодействие с сервером SS (англ. ServiceServer – сервер, предоставляющий сетевые сервисы). В несколько упрощенном виде, протокол предполагает следующие шаги [19, 20]:

Теперь перейдем к практике

1. Выполняем настройки на стороне сервера домен контролера, на котором настроены службы TGS / KDC.


Выполняем проверку, установленного SPN

Электромеханический турникет трипод kerberos | трехштанговый турникет от dormakaba

Трехштанговый турникет (трипод) Kerberos, может быть использован в системах контроля доступа и способен существенно облегчить работу служб охраны и безопасности учреждений и организаций. Напольный трипод может быть установлен как внутри здания – на проходных в школах, университетах, библиотеках, других образовательных и государственных учреждений, так и на улице – часто триподы устанавливают на входе на стадионы, зоопарки и многие другие объекты.

Быстрые, гибко настраиваемые простые в использовании и выполненные в стильных корпусах тумбовые турникеты триподы dormakaba (ex. Kaba) Kerberos совместимы со всеми типами считывателей и поставляются в различных вариантах дизайна. Турникеты, изготовленные из высококачественной нержавеющей стали, подходят для использования как внутри, так и вне помещений (уличный турникет трипод). Тихий энергосберегающий привод расходует электроэнергию на самом низком уровне и уменьшает опасность травмирования пользователей: для прохода необходимо приложить совсем незначительное усилие.

Турникет трипод электромеханический Kerberos имеют функцию «падающая штанга» – уникальное изобретение dormakaba. При объявлении эвакуации верхняя штанга автоматически деблокируется, обеспечивая свободный проход в обоих направлениях. Штанги триподов могут быть автоматически возвращены в исходное положение сразу после того, как режим эвакуации будет отменен.
Если необходимо, деблокировка и повторное закрывание падающей планки могут быть инициированы авторизованным персоналом охраны с помощью элемента управления (например, для разовой транспортировки грузов через турникет).

Важное преимущество напольных турникетов триподов Kerberos – дизайн и визуальная и конструктивная схожесть с другими моделями турникетов, благодаря чему их можно сочетать друг с другом. Данные турникеты как правило устанавливаются на готовый пол. Но конструкция также предусматривает возможность монтажа на фальшпол и другие поверхности.

Благодаря высокому качеству, надежности и долговечности триподов, амортизационные затраты на них станут ничтожно малы по сравнению с более дешевыми, но менее надежными аналогами.

Особенности:

  • Падающие штанги с автоматическим возвратом в исходное положение
  • Сервоприводы для облегчения вращения штанг
  • Минимальный расход электроэнергии
  • Функциональные, скоростные и компактные
  • Простые в использовании
  • Сделаны из нержавеющей стали
  • Подходят для установки вне помещений
  • Долгий срок службы благодаря вращению при помощи сервопривода

Купить полноростовые уличные турникеты (триподы Kerberos) можно у официальных дистрибьюторов.

Для консультаций на тему напольных турникетов Kerberos пишите на info.ru@my-sertif.ru или звоните: 8 (800) 250-15-76.

Скачать

kerberos oracle SSO weblogic wls
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат