Module xác thực có thể tải thêm (PAM-Pluggable Authentication Module)

Một phần của tài liệu Nghiên cứu, tìm hiểu những vấn đề an ninh của hệ điều hành mạng luận văn ths công nghệ thông tin 60 48 01 04x (Trang 58 - 59)

- Mức 4: Mô tả các công cụ điều khiển truy nhập tới mạng vật lý.

2.3.7.3. Module xác thực có thể tải thêm (PAM-Pluggable Authentication Module)

Được phát triển ban đầu bởi Sun và OSF chấp nhận đưa vào CDE/Motif. PAM cung cấp mô hình có thể tải thêm cho các cơ chế xác thực hệ thống cũng như các dịch vụ liên quan khác chẳng hạn quản lý mật khẩu, tài khoản và phiên. Các dịch vụ này đặc biệt có lợi cho các ứng dụng cung cấp hoặc yêu cầu "đầu vào hệ thống" (hoặc đăng nhập) phải xác minh định danh người dùng cũng như thông tin tài khoản. Một số ví dụ phổ biến về các ứng dụng này là login, dtlogin, rlogin, rsh, telnet, ftp,....

Các cơ chế an toàn có thể tiếp cận qua PAM được thi hành khi những người giám quản có thể cài đặt các module phần mềm chia sẻ, có khả năng tải động trong suốt đối với các ứng dụng. PAM cho phép người giám quản cấu hình cơ chế xác thực người dùng trên cơ sở từng ứng dụng. Ví dụ, một cổng yêu cầu xác thực mật khẩu S/Key để truy nhập Telnet trong khi đang cho phép các phiên đăng nhập giao tiếp với chính xác thực mật khẩu UNIX. Với PAM cũng có thể cấu hình nhiều cơ chế xác thực cho mỗi ứng dụng. Ví dụ, người giám quản muốn xác thực những người dùng bằng cả

Kerberos và RSA. Cuối cùng, PAM cho phép những người dùng của các ứng dụng này cung cấp một mật khẩu đơn lẻ mà nhiều dịch vụ xác thực có thể sử dụng.

2.3.7.4. GSS-API

GSS-API là một chuẩn được đề xuất, như định nghĩa trong RFC-1508 và RFC- 1509. Nó đang trở thành chuẩn thực tế, nói chung đó là kiểu tổng quát, để giao dịch với các dịch vụ an toàn (chẳng hạn xác thực, toàn vẹn và mã hoá). Các ứng dụng có thể chạy độc lập với cơ chế và các công nghệ an toàn bên dưới. Nó cũng cho phép có thể di chuyển mức nguồn.

PAM API và GSS-API là phần bù của nhau, trong khi PAM API hỗ trợ xác thực người dùng bằng các server lối vào hệ thống, thì GSSAPI hỗ trợ xác thực Client/Server dựa vào mạng. Vì thế, một khi những người dùng trên các hệ thống khách được xác thực thông qua PAM, thì họ có thể kết nối một cách an toàn với các hệ thống server sử dụng GSSAPI dựa vào các dịch vụ xác thực.

Một phần của tài liệu Nghiên cứu, tìm hiểu những vấn đề an ninh của hệ điều hành mạng luận văn ths công nghệ thông tin 60 48 01 04x (Trang 58 - 59)