Начиная с операционной системы Windows ХР, а также в Windows Server 2003 компания Microsoft реализовала некоторые изменения относительно способа управления доступом к совместно используемым ресурсам. В локальной или глобальной Security Policy (политика безопасности) можно установить одно из двух следующих значений для параметра "Network access: Sharing and security model for local accounts" ("Доступ по сети: модель безопасности и совместного доступа для локальных учетных записей").
Т Classic (классический) — локальные пользователи аутентифицируются под своими учетными записями.
Guest only (только гости) — локальные пользователи всегда аутентифицируются как Guest.
Значение Guest only пригодится для систем, в которых для совместного доступа предоставлено большое количество файлов. Это позволяет предоставить одинаковый уровень доступа ко всем совместно используемым данным. Мы рекомендуем оставить значение Classic, поскольку всегда лучше точно знать, кто получает доступ к ресурсам.
Преобразование данных службы Passport
Одно из наиболее интересных свойств новой операционной системы Windows Server 2003 заключается в возможности использовать аутентификационные данные службы Passport для учетных записей Active Directory. Microsoft .NET Passport — это Web-служба, управляемая корпорацией Microsoft. Более подробную информацию об этой службе можно найти в источниках, указанных в конце этой главы в разделе "Дополнительная литература и ссылки" и в книге Секреты хакеров. Безопасность Web-приложений — готовые решения, Джоел Скембрей, Майк Шема, Йен-Минг Чен, Дэвид Вон. Вильяме, 2003.
Основное преимущество использования аутентификационных данных службы Passport в качестве учетных записей Active Directory заключается в предоставлении пользователям возможности доступа к ресурсам систем Windows без необходимости применения какого-либо протокола аутентификации.
Например, рассмотрим Internet-службу типа "компания-клиент" (В2С— business-to-consumeг), основанную на службе Active Directory, которая "не хо¬чет" использовать NTLM-аутентификацию для предоставления доступа удаленным пользователям. Служба Passport позволяет упростить задачу аутентификации пользователей через Internet и практически полностью управляется третьей стороной (компанией Microsoft).
Со стороны пользователей не требуется никаких серьезных усилий, чтобы организовать такого рода аутентификацию. Однако на сервере придется поработать. Поскольку в службе Passport используется аутентификация по методу общедоступного ключа, то организация должна стать официальным партнером службы Passport, быть добавлена в соответствующие списки и установить набор средств Passport SDK, используя предоставленный ключ на серверах приложений. Это позволит приложению расшифровывать аутентификационные данные службы Passport и осуществлять аутентификацию пользователей. Кроме того, должны быть выполнены некоторые строгие требования службы Passport, и придется провести тщательное тестирование до того, как в организации будет реализована аутентификация с помощью службы Passport.
После синхронизации со службой Passport выполняется настройка IIS-ресурсов. Это несложный процесс. На этом этапе можно выбрать домен службы AD, для которого требуется аутентификация с помощью .NET Passport .
После того как служба Passport провела аутентификацию пользователя, приложение может использовать Active Directory для авторизации этого пользователя.
Использование службы Passport для аутентификации пользователей открывает захватывающие перспективы для компаний, которые хотят управлять авторизацией своих Web-Приложений, используя инфраструктуру службы AD. При этом нельзя забывать о необходимости выполнения подготовительных работ.
Наличие позиции для отметки simple.NET Passport Authentication в оснастке Active Directory Users and Computers (Active Directory — пользователи и компьютеры) означает, что на компьютере установлено приложение, которое успешно использует аутентификацию с помощью службы Passport.
А какое влияние на систему защиты оказывает применение аутентификации пользователей с помощью службы Passport? Провести оценку безопасности этой службы довольно сложно, поскольку на данное время она уникальна, а ее конкуренты появятся только в отдаленной перспективе. Не так давно в этой службе были выявлены несколько серьезных проблем безопасности.
|