Hay docenas de protocolos de autenticación, autorización y contabilidad ( AAA) para Linux , cada uno siguiendo su propio conjunto de reglas sobre la manera de gestionar los datos de los usuarios. Dos de los jugadores más altamente implementadas son Kerberos y diámetro , cada uno con sus propias ventajas y desventajas. Kerberos Información
Kerberos fue desarrollado por el Instituto de Tecnología de Massachusetts y se ofrece de forma gratuita. El método utilizado por Kerberos permite la autenticación mutua , o la capacidad , tanto para el cliente y el servidor para verificar la identidad de cada uno antes de continuar. Kerberos funciona con la criptografía de clave simétrica en la que debe haber un secreto compartido entre dos partes para comunicarse.
Simplificado , la forma en que funciona Kerberos implica el uso de un tercero de confianza , calificó el centro de distribución de claves . Este se divide en dos partes: el servidor de autenticación y el servidor de otorgamiento de tickets . Cada nodo en una red tiene una clave secreta que sólo se conoce con el centro de distribución de claves y de ese nodo . Cuando dos nodos quieren interactuar en la red , que reciben una clave compartida temporal para comunicarse de forma segura .
Aunque este sistema parece seguro , hay inconvenientes . Si el servidor de Kerberos es hacia abajo y luego no se puede iniciar sesión en la red. Además, puesto que todas las claves se almacenan en la tercera parte de confianza , si una máquina es comprometida entonces lo mismo ocurre con todo lo demás.
Kerberos ha visto mucho éxito . La mayoría de distribuciones de Linux vienen con Kerberos incluido en el sistema operativo .
Ejecución Kerberos
Para instalar Kerberos, asegúrese de que tiene un equipo servidor Kerberos. Este será el equipo a través del cual corre todo el tráfico de Kerberos , así que compruebe su seguridad para confirmar que es la máquina más bien configurado en la red.
Si bien existe la opción de instalar todo el código Kerberos mismo , es muy recomendable que adquiera algo como Kerbnet de Cygnus Solutions o utilizar una empresa como CyberSafe para proporcionar las herramientas necesarias Kerberos . Estos paquetes de software vienen con el último código precompilado y con varios binarios para que usted trabaje de . Ellos ayudan a los administradores de sistemas y profesionales no técnicos acelerar el proceso de implementación de Kerberos. También hay que tener en cuenta que los productos de red de Cisco tienen más Kerberos ya aplicadas .
Si desea enfocar el código manualmente , puede descargarlo desde el sitio web de MIT y siga las instrucciones de configuración detalladas antes de hacer e instalar los programas compilados . Al seguir este procedimiento le ayudará a aprender más acerca de Kerberos que de otra manera , sino que también será el proceso más lento y confuso si usted nunca ha trabajado con algo en este formato en bruto en un sistema Unix antes.
< Br >
Diámetro Información
Diámetro es el sucesor de Radius, TACACS + y otros métodos AAA basado en el mismo origen TACACS . A diferencia de Kerberos , que está diseñado con un modelo cliente -servidor en mente , diámetro se basa en un método de peer-to -peer . Una de las mejoras de seguridad principales de Diámetro es que ya no utiliza UDP ( un tipo de paquete rápido pero inseguro) , como Radius, sino que se basa puramente en TCP y SCTP ( dos opciones más seguras para la transferencia de datos) .
Diámetro ha sido anunciada como la próxima generación de protocolos AAA. Entre sus mejoras de seguridad más Radius hacen superior a cualquiera de sus predecesores. Dónde Radio tenía problemas con fiabilidad y escalabilidad , además de ser incapaces de manejar el acceso remoto , Diámetro permite un solo servidor para manejar la mayor parte de la obra y viene con la capacidad de utilizar extensiones para ampliar las capacidades del protocolo más allá de su construcción original .
implementación Diámetro
la forma más fácil de poner en práctica diámetro en su sistema es usar OpenDiamater , una herramienta gratuita y de código abierto para aquellos que deseen experimentar con el protocolo. Obtener el código fuente es relativamente fácil , ya que tiene una página SourceForge.net con todos los datos necesarios . Documentación , sin embargo , es más difícil de encontrar. Los pasos son , afortunadamente , bastante simple.
Primero , instale el Boost y librerías de ACE , ya que son requisitos para OpenDiameter a trabajar. Impulso que puede encontrar en la mayoría de los gestores de paquetes de Linux , mientras que ACE se debe instalar desde la fuente. Después de eso, establecer las variables de entorno necesarias para cada uno antes de la descarga de la fuente OpenDiameter y configuración , por lo que e instalarlo en su sistema. A partir de aquí seguir la guía para ejecutar los clientes y servidores de prueba para el sistema para asegurarse de que todo está funcionando correctamente.