Системы аутентификации. Службы каталогов (ACTIVE DIRECTORY, NDS), инструментальные средства реализации.

Единая система идентификации и аутентификации (ЕСИА) — информационная система в Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах.

К основным функциональным возможностям ЕСИА относятся:

- идентификация и аутентификация пользователей

- управление идентификационными данными

- авторизация уполномоченных лиц органов исполнительной власти при доступе к функциям ЕСИА

- ведение информации о полномочиях пользователей в отношении информационных систем

СЛУЖБЫ КАТАЛОГОВ ACTIVE DIRECTORY, NDS

Если говорить об информации, нужно иметь в виду, что она должна быть легко доступна тем, кто имеет на нее право, и защищена от тех, кто не имеет. Сеть это информация, ресурсы, пользователи, приложения и т.д. И всем этим необходимо эффективно управлять, желательно с меньшими затратами и, что было бы совсем чудесно, одной утилитой.

Служба каталогов определяет положения ресурса в сети, занимается поиском информации о пользователях, их доступом к ресурсам. Каталог определяет положение приложений в сети и взаимозависимости пользователей, ресурсов и приложений между собой. Сеть должна в идеале представлять собой единую логическую структуру, удобную для использования и управления. В начале развития сетей пользователи, ресурсы, приложения, все управлялось отдельными утилитами. В связи с ростом сетей и перерастания их из комнатных в общемировые изменилась и служба каталогов. Представим две службы: Novell Directory Services (NDS) и Microsoft Active Directory (MAD).

Первые упоминания о NDS относятся к 1993 году. NDS служба каталога, прошедшая испытание временем. Логическая структура сети представляет собой дерево каталога, объединяющее иерархически расположенные контейнеры. Контейнеры могут включать в себя как объекты-листья (leafs), например, пользователей, группы, принтеры, серверы, рабочие станции, профайлы и многие другие, так и контейнеры более низкого уровня. Пользователи подключаются к сети с множеством серверов и видят сеть как единую информационную систему.

MICROSOFT ACTIVE DIRECTORY

В 1998 г. компания Microsoft разработала прототип Windows 2000 и новый сервис каталога Active Directory.

Домен остался основой структуры каталога. Как и в доменах NT Server 4.0, Active Directory использует доверительные отношения (trust relationships). В NT 4.0 для установления взаимного доверия между доменами необходимо было определить два доверительных отношения. В Active Directory при установлении доверительных отношений они автоматически становятся двунаправленными и транзитивными. Транзитивность можно продемонстрировать на следующем примере: если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С. Посредством комбинирования доменов с помощью доверительных отношений, строится доменное дерево, объединяющее домены в непрерывное именное пространство DNS. Множество доменных деревьев из несвязанных DNS-доменов может быть объединено вместе в лес (forest). В Active Directory предусмотрена возможность деления логической структуры доменов на организационные единицы (Organizational Unit OU). Реализованные в Active Directory OU позволяют снять два ограничения текущей доменной структуры NT: 1) появляется возможность иерархического представления объектов внутри домена, и 2) дают возможность передавать административные полномочия внутри домена.

РАЗЛИЧИЯ В ПОРЯДКЕ ПРЕДОСТАВЛЕНИЯ ПРАВ НА РЕСУРСЫ

Когда администратор устанавливает новые приложения или ресурсы в сети, он также должен предоставить пользователям доступ к этим ресурсам или приложениям.

Active Directory использует Security Identifiers (SIDs) для определения доступа к ресурсам. Группы и пользователи, являющиеся основой системы безопасности в домене, имеют связанную с ними величину SID. Active Directory использует SID для определения того, имеет ли пользователь или группа права доступа к другим доменным объектам или доменным ресурсам. Когда пользователь Active Directory аутентифицируется в каталоге, суммируются все пользовательские SIDs и создается маркер (token) защиты, разрешающий использовать ресурсы. Маркер включает в себя пользовательский SID и SIDs всех групп, к которым он приписан. Как и в NT 4.0, в Active Directory маркер защиты вычисляется во время регистрации. Если права пользователя переопределяются посредством включения его в другие группы, пользователю необходимо выполнить все действия для повторной регистрации в сети для получения вновь предоставленных прав. Например, администратор предоставил пользователю права на новый принтер, установленный в сети. Пользователь редактировал документ и узнал, что можно напечатать его на новом принтере. Ему придется закрыть документ, перезагрузить компьютер, войти в сеть снова и тогда уже напечатать документ на новом принтере.

NDS динамически вычисляет права пользователя без дополнительной аутентификации его в NDS. Изменения, примененные к пользователю или контейнеру, где он располагается, применяются немедленно и динамически.