Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

RADIUS ja PAM Ilmari Puustjärvi. Autentikointi Käyttäjän (tai palvelun) identiteetin varmentamista Käyttäjän (tai palvelun) identiteetin varmentamista.

JulkaistuHanna-Mari Auvinen Muutettu yli 8 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "RADIUS ja PAM Ilmari Puustjärvi. Autentikointi Käyttäjän (tai palvelun) identiteetin varmentamista Käyttäjän (tai palvelun) identiteetin varmentamista."— Esityksen transkriptio:

1 RADIUS ja PAM Ilmari Puustjärvi

2 Autentikointi Käyttäjän (tai palvelun) identiteetin varmentamista Käyttäjän (tai palvelun) identiteetin varmentamista Vaihtoehtoisia termejä todennus, aidonnus ja yksilöinti Vaihtoehtoisia termejä todennus, aidonnus ja yksilöinti Osa arkipäivää Osa arkipäivää kumpikin osapuoli on varma toistensa identiteetistä Keskinäinen todennus: kumpikin osapuoli on varma toistensa identiteetistä

3 Autentikointi Todentamismenettelyjä Todentamismenettelyjä Käyttäjä tietää jotain ( salasana ) Käyttäjä tietää jotain ( salasana ) Käyttäjällä on hallussaan jotain ( älykortti ) Käyttäjällä on hallussaan jotain ( älykortti ) Jokin käyttäjän ominaisuus ( sormenjälki ) Jokin käyttäjän ominaisuus ( sormenjälki ) Menettelyillä omat heikkoutensa Menettelyillä omat heikkoutensa Salasana voidaan arvata Salasana voidaan arvata Älykortti voidaan varastaa Älykortti voidaan varastaa Sormenjälkiskanneri voi erehtyä Sormenjälkiskanneri voi erehtyä

4 Autentikointiprosessi Käyttäjän kirjautuminen Linux:iin Käyttäjän kirjautuminen Linux:iin 1. Käyttäjä syöttää käyttäjätunnuksen ja salasanan. 2. Järjestelmä kryptaa annetun salasanan ja vertaa kryptattua salasanaa /etc/shadow tiedostossa, annetun käyttäjätunnuksen kohdalla, olevaan kryptattuun salasanaan. 3. Jos kryptatut salasanat ovat identtiset, käyttäjän todennus onnistuu.

5 PAM Pluggable Authentication Modules Pluggable Authentication Modules Koostuu erilaisia toimintoja suorittavista moduuleista Koostuu erilaisia toimintoja suorittavista moduuleista Apukeino eri ohjelmille autentikoinnin suorittamiseksi Apukeino eri ohjelmille autentikoinnin suorittamiseksi Ohjelmien ja autentikointimenetelmien kehitys voidaan erottaa Ohjelmien ja autentikointimenetelmien kehitys voidaan erottaa

6 PAM - toiminta Sovelluksen rakentaja käyttää PAM API:a sovelluksen rakentamisessa Sovelluksen rakentaja käyttää PAM API:a sovelluksen rakentamisessa Sovellukset käyttävät moduuleja Sovellukset käyttävät moduuleja Moduulit käyttävät mekanimeja Moduulit käyttävät mekanimeja

7 PAM - toiminta Ohjelman käyttämät moduulit määritetään asetustiedostossa Ohjelman käyttämät moduulit määritetään asetustiedostossa /etc/pam.conf ( kaikille PAM –ohjelmille yhteinen ) /etc/pam.conf ( kaikille PAM –ohjelmille yhteinen ) /etc/pam.d/ohjelma_nimi ( ohjelmakohtainen ) /etc/pam.d/ohjelma_nimi ( ohjelmakohtainen ) Järjestelmänvalvoja voi päättää autentikointiskeeman sovelluskohtaisesti Järjestelmänvalvoja voi päättää autentikointiskeeman sovelluskohtaisesti Käyttämällä Useampaa moduulia, voidaan todennuksen vahvuutta lisätä Käyttämällä Useampaa moduulia, voidaan todennuksen vahvuutta lisätä

8 PAM – toiminta /etc/pam.conf /etc/pam.conf loginauthrequiredpam_unix_auth.so nowarn login sessionrequisitepam_unix_session.so loginaccountsufficientpam_unix_account.so loginpasswordoptionalpam_unix_passwd.so

9 RADIUS Remote Authentication Dial-in User Service Remote Authentication Dial-in User Service Tilaton palvelin/asiakaspohjainen autentikointiprotokolla Tilaton palvelin/asiakaspohjainen autentikointiprotokolla Käytetään autentikoinnin keskittämiseen autentikointipalvelimille Käytetään autentikoinnin keskittämiseen autentikointipalvelimille Määritelty RFC 2865:ssa ja RFC 2866:ssa (Accounting) Määritelty RFC 2865:ssa ja RFC 2866:ssa (Accounting)

10 RADIUS - toiminta RADIUS –järjestelmä RADIUS –järjestelmä RADIUS -palvelin ( palvelin, jossa RADIUS – palvelinohjelma ) RADIUS -palvelin ( palvelin, jossa RADIUS – palvelinohjelma ) RADIUS -asiakas ( verkon liityntäpiste ) RADIUS -asiakas ( verkon liityntäpiste ) käyttäjä ( verkkoon liittyvä käyttäjä ) käyttäjä ( verkkoon liittyvä käyttäjä ) Palvelin ja asiakas jakavat salaisuuden (shared secret), jota käytetään käyttäjän salasanan salaamiseen Palvelin ja asiakas jakavat salaisuuden (shared secret), jota käytetään käyttäjän salasanan salaamiseen

11 RADIUS - toiminta Vietinvaihdossa Vietinvaihdossa UDP UDP Portti 1812 (1645) Portti 1812 (1645) Portti 1813 (accounting) Portti 1813 (accounting) RADIUS -paketti RADIUS -paketti

12 RADIUS - toiminta Tyyppi Tyyppi Esim. Access-Request, Access-Accept, Accounting-Request Esim. Access-Request, Access-Accept, Accounting-Request Tunniste Tunniste Tunnistetaan toisiinsa liittyvät paketit Tunnistetaan toisiinsa liittyvät paketit Pituus Pituus Paketin pituus Paketin pituus Tunnistetieto Tunnistetieto 16 oktettia, pakettien autentikointi ja salasanan suojaus 16 oktettia, pakettien autentikointi ja salasanan suojaus Attribuutit Attribuutit Tietojen välittämiseen Tietojen välittämiseen

13 RADIUS - toiminta Käyttäjän kirjautuessa järjestelmään, liityntäpiste lähettää palvelimelle Access-Request Käyttäjän kirjautuessa järjestelmään, liityntäpiste lähettää palvelimelle Access-Request Palvelin käsittelee pyynnön ja vastaa joko Access-Accept, Access-Reject tai Access- Challenge Palvelin käsittelee pyynnön ja vastaa joko Access-Accept, Access-Reject tai Access- Challenge Access-Challenge viestiin liityntäpiste generoi uuden Access-accept viestin, jossa lisätietoja käyttäjältä Access-Challenge viestiin liityntäpiste generoi uuden Access-accept viestin, jossa lisätietoja käyttäjältä

14 RADIUS - asennus Valittiin RADIUS -palvelinohjelmaksi FreeRADIUS Valittiin RADIUS -palvelinohjelmaksi FreeRADIUS # apt-get install freeradius # apt-get install freeradius Asennuksen jälkeen automaattisesti käynnissä Asennuksen jälkeen automaattisesti käynnissä Uudelleen käynnistys Uudelleen käynnistys # freeradius restart Käynnistys debug –tilassa Käynnistys debug –tilassa # freeradius -X

15 RADIUS - konfigurointi Konfiguroitavia tiedostoja (/etc/freeradius) Konfiguroitavia tiedostoja (/etc/freeradius) clients.conf (määrittelee asiakkaat) clients.conf (määrittelee asiakkaat) radiusd.conf (ohjelman yleiset asetukset) radiusd.conf (ohjelman yleiset asetukset) users (määrittelee käyttäjät) users (määrittelee käyttäjät)

16 RADIUS - konfigurointi clients.conf clients.conf client 192.168.3.0/24{ secret = 6218lahiverkot shortname = dmz } client 192.168.1.0/24{ secret = 6218lahiverkot shortname = sisaverkko }

17 RADIUS - konfigurointi radiusd.conf radiusd.conf passwd = /etc/passwd shadow = /etc/shadow group = /etc/group

18 RADIUS - konfigurointi users (testiä varten lisätty käyttäjä) users (testiä varten lisätty käyttäjä) ”Test User”Auth-Type := Local, User-Password == ”123” Reply-Message = ”Hello, %u”

19 RADIUS - testaus radtest -ohjelma radtest -ohjelma # radtest ”Test User” 123 localhost 0 testing123 NTRadPing NTRadPing RADIUS –palvelimen testiohjelma Windows:lle RADIUS –palvelimen testiohjelma Windows:lle http://www.novell.com/coolsolutions/tools/14377. html http://www.novell.com/coolsolutions/tools/14377. html

20 PAM:in RADIUS -moduuli RADIUS:ta käyttävä autentikointimoduuli RADIUS:ta käyttävä autentikointimoduuli Asennus Asennus # apt-get install libpam-radius-auth /etc/freeradius/pam_radius_auth.conf /etc/freeradius/pam_radius_auth.conf 127.0.0.1testing1233 /etc/pam.d/ssh /etc/pam.d/ssh authsufficientpam_radius_auth.so

Lataa ppt "RADIUS ja PAM Ilmari Puustjärvi. Autentikointi Käyttäjän (tai palvelun) identiteetin varmentamista Käyttäjän (tai palvelun) identiteetin varmentamista."

Samankaltaiset esitykset

Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003.

Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003.
TOSIBOX LOCK Turvallisuusasetukset

TOSIBOX LOCK Turvallisuusasetukset
Mobiilitulostaminen - tulosta omalta kannettavalta tai puhelimesta

Mobiilitulostaminen - tulosta omalta kannettavalta tai puhelimesta
Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.

Suorita menulta voit ottaa yhteyden iSeries:iin tai katkaista yhteyden sinne ja poistua RI400:sta.
Active directory.

Active directory.
Filipp Koivu, Tomi Virtanen, Niclas Arvela

Filipp Koivu, Tomi Virtanen, Niclas Arvela
Suunnitelma ohjelmiston testaukseen

Suunnitelma ohjelmiston testaukseen
Lähiverkot erikoistyökurssi

Lähiverkot erikoistyökurssi
Lähiverkot -erikoistyökurssi 23.02.2007 Maiju Kansanen 1 NIS Network Information System.

Lähiverkot -erikoistyökurssi Maiju Kansanen 1 NIS Network Information System.
WLAN ja tietoturvallisuus

WLAN ja tietoturvallisuus
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Ubuntuun LAMP server sekä Samba tiedostonjako palvelu.

Ubuntuun LAMP server sekä Samba tiedostonjako palvelu.
EXtensible Markup Language

EXtensible Markup Language
Valitse sanomapalkissa Ota muokkaus käyttöön,

Valitse sanomapalkissa Ota muokkaus käyttöön,
Asentaminen  Asennuspaketeista CentOS, RHEL, Windows  Lähdekoodista  Vaatii muutaman lisäkirjaston.

Asentaminen  Asennuspaketeista CentOS, RHEL, Windows  Lähdekoodista  Vaatii muutaman lisäkirjaston.
Wireless Local Area Network (Wireless LAN)

Wireless Local Area Network (Wireless LAN)
1 WWW-lomakkeet Sähköisen liiketoiminnan tärkeä elementti.

1 WWW-lomakkeet Sähköisen liiketoiminnan tärkeä elementti.
Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.

Ennen asentamista  Autentikointilähde LDAP, SQL-tietokanta…  Autentikointimetodi Olemassa oleva kirjautumisjärjestelmä (Pubcookie, CAS…) Uusi autentikointijärjestelmä.
Käyttöjärjestelmien käynnistyminen

Käyttöjärjestelmien käynnistyminen
Virtuaalisointi.

Virtuaalisointi.

Samankaltaiset esitykset

Iklan oleh Google