Главная » Форум » Gentoo Linux » Системное администрирование

Управление Паролями

Гость 6 марта, 2006 - 19:57

Может кто знает как организуется административное (компьютерное) управление организацией (симуляция), где множество пользователей и паролей. Имеется ввиду, что у каждого пользвателя есть несколько паролей, и они постоянно их забывают. Дать всем один пароль, или упростить пароли - небезопасно. Доступ должен быть как внутри, так и вне компании к базе данных. Компания расширяется, сотрудники меняются - так что постоянные пароли не годятся. Часто их менять - это окончательно запутать юзеров. Какие вообще решиния могут быть (хотя бы теоретические)?

Через гугл я нашел множество программ помогающих в администрировании. Но мне не это нужно.
Я не сисадмин, а просто пишу небольшую работу по теме "инфляция паролей" (постарался изложить ее суть выше). Поэтому "принять на работу системного администратора" - не получится
Нигде не получилось найти литературу по теме сисадминистрирования в области "инфляции паролей". Вот может кто из личного опыта поделится: как найти грань между безопасностью и удобством доступа.

‹ Шлюз internet вопрос по Apache+SSL ›
»

Не уверен, что в

Автор DiSH, дата создания 6 марта, 2006 - 21:44.

Не уверен, что в тему

Решением для этого являются сертификаты (rsa, tls) и инкапсуляция небезопасных протоколов в ssh или ssl.

Таким образом, у пользователя есть флешка/магнитная карта/карта памяти с его сертификатом и все, что ему надо для логина -- вставить ее в комп.

При этом для внутренних авторизаций использовать один сертификат, а для внешних -- другой. Флешки/пр. устройства для внутренних выдавать каждое утро под роспись, для внешних под роспись обновлять сертификаты раз в сутки/неделю/месяц.

Пользователь таким образом не запутается, т.к. все, что ему надо помнить -- это вставить флешку.

Как доп. вариант защиты сертификат еще можно защищать паролем (на случай, если флешку украдут), пароль надо помнить и наказывать пользователей, если они хранят пароль рядом с флешкой.

Один минус у этой системы -- настроить не очень просто. И достаточно дорого зачастую бывает.

_________________
Contrary to popular belief, UNIX is user-friendly. It just happens to be very selective about who it decides to make friends with. A. Haiut.

»

Спасибо,

Автор dimiosis (не зарегистрирован), дата создания 6 марта, 2006 - 22:43.

Спасибо, огромное!
Ответ как нельзя более в тему!!! Меня очень заинтересовала идея (спасибо): как я понял из поста, речь идет о паролях на съемных устройствах. А можно поподробнее пояснить что собой представляют сертификаты (rsa, tls) и ssh или ssl. Не доводилось с ними сталкиваться.

»

Представляешь

Автор DiSH, дата создания 7 марта, 2006 - 01:17.

Представляешь себе, что такое асимметричное шифрование? Так вот, все эти системы построены именно на нем: есть открытый (публичный) ключ и закрытый (приватный) ключ. Закрытый как раз на флешке/карте/пр. устройство.
_________________
Contrary to popular belief, UNIX is user-friendly. It just happens to be very selective about who it decides to make friends with. A. Haiut.

»

Теперь

Автор dimiosis (не зарегистрирован), дата создания 7 марта, 2006 - 01:38.

Теперь понятно!
Очень напоминает банковскую систему.

»

На практике с

Автор alexxy, дата создания 6 марта, 2006 - 23:59.

На практике с такой схемой работают grid сети и кластеры
Только там сартефикаты не на флешках и других носителях а на специально для этого отведенном юзеринтерфейс ноде
сертефикаты защищены паролями
впринципе возможно скоро появятся вебинтерфейсы к таким системам

_________________
Gentoo GNU/Linux 2.6.15 GCC 3.4.4 Dual Xeon

»

Но если

Автор dimiosis (не зарегистрирован), дата создания 7 марта, 2006 - 00:49.

Но если сертефикаты не на съемных устройствах, а в сети, то получается, что достаточно подобрать один пароль - и сразу получаешь доступ ко всем ресурсам! Не вижу преимуществ. Или я что-то не так понял.

»

Действительно

Автор alexxy, дата создания 7 марта, 2006 - 02:28.

Действительно напутал
В сети то они в сети только юзеринтерфейс требует залогинится и проверка идет не только по паре логин пароль
Только потом юзер со своего акаута может попробовать достучаться до сервера с использованием сертификата дополнительно защищеного паролем
и если на сервере походит верификация то только тогда юзеру дается зеленый свет
_________________
Gentoo GNU/Linux 2.6.15 GCC 3.4.4 Dual Xeon

»

В сети я

Автор DiSH, дата создания 7 марта, 2006 - 01:29.

В сети я встречал доки как прикрутить такую авторизацию к Active Directory :) Правда трафик шифровать там геморно, но тоже реализуемо.

С Юниксом попроще будет, ибо не надо таких извращений, на уровне простых конфигов и переменных окружения все решается. А дальше VNC over SSH и вперед, сервер терминальных приложений готов :)

Конечно, реализация требует массу времени и навыков, все не так, просто, как я описал в двух словах :)
Внедрение и обслуживание подобной системы достаточно дорогостоящее мероприятие и защищаемая информация должна быть намного дороже. Самый сложный момент -- это дисциплина пользователей :)

С кластерами по такой схеме работал, настраивать было одно удовольствие :))
_________________
Contrary to popular belief, UNIX is user-friendly. It just happens to be very selective about who it decides to make friends with. A. Haiut.

»

Grid & Cluster

Автор vano, дата создания 7 марта, 2006 - 07:43.

Объясните, пожалуйста, поподробнее по поводу сертификатов в Grid.
они используются для подключения узла к распределенной сети сети? или все же для авторизации пользователей?
Если для подключения узлов каким образом осуществляется авторизация?

»

они

Автор alexxy, дата создания 7 марта, 2006 - 16:02.

они используются и для того и для другого только для узлов существуют сертификаты виртуальных организаций в которых указаны ресурсы доступные их членам
Пользователям доступны только их личные сертефикаты авторизации и доступа
_________________
Gentoo GNU/Linux 2.6.15 GCC 3.4.4 Dual Xeon

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".