SSO: Single Sign On

Explora sistemas externos de confiança (TTP) para autenticação

Sistemas próprios da organização

Sistemas externos (Google, Facebook)

Serviços de AAA

Autenticação, Autorização e Accounting

Em redes: RADIUS e DIAMETER (telecoms)

Vantagens

Permite a reutilização das mesmas credenciais em múltiplos sistemas

Repositório único para as credenciais

Mais difícil de roubar as credenciais do que se estiverem distribuídas pelos sistemas

Pode implementar restrições (vistas) ao perfil para cada sistema

Desvantagens

Requer mais recursos para o sistema de autenticação

Único ponto de falha

Falha implica a perda de acesso a todos os sistemas

Perda de credenciais implica comprometimento de todos os sistemas

Introduz atrasos nos processos de autenticação

Requer agente que expõe utilizadores remotos nos sistemas locais

Windows: Utilizadores com perfis remotos, não disponíveis na SAM

Linux: Utilizadores não presentes no /etc/passwd

Tem de utilizar mecanismos de cache para acelerar operações

Pode fornecer informação adicional do perfil

Tipo de utilizador: Estudante, professor, admin

Informação adicional: email, home, nome...

Sistemas que fazem uso de SSO têm de ser aprovisionados

Frequentemente também especificamente autorizados

LDAP - Lightweight Directory Access Protocol

Protocolo para manter um diretório de informação

Diretório hierárquico com informação sobre utilizadores, sistemas e serviços

Informação é organizada numa árvore

Acesso ao diretório pode ter partes públicas e restritas

Acesso anónimo: dados gerais dos contactos e configurações

Acesso Autenticado: Informações específicas do perfil

LDAP Bind: associa uma sessão a um utilizador

O mesmo diretório pode conter vários domínios

Kerberos

Protocolo de autenticação para ambientes de rede

Baseado no conceito de Tickets com validade limitada

Processo por defeito para MS AD (Ex, CodeUA)

Suporta autenticação mútua

Cliente recebe do autenticador um token cifrado com a sua senha (do cliente)

Quarto entidades chave

Cliente: pretende aceder a um serviço

Service Server (SS): Fornece um serviço que o utilizador pretende usar

Ticket Granting Server (TGS): Fornece acesso aos serviços

Authentication Server(AS): Fornece acesso ao TGS

Key Distribution Center = AS + TGS ( + base de dados)

Kerberos: Client Authn

Utilizador envia pedido ao AS com o seu ClientID

AS responde com 2 mensagens:

A: Enc_user-key(Client/TGS Session Key)

B: Enc_tgs-key(Cliente, Endereço de Rede, Validade, Client/TGS Session Key)

Utilizador usa a sua chave para decifrar A

Envia pedido ao TGS com 2 mensagens

C=B + Identificador do serviço

D=Enc_client/TGS SessionKey(ClientID, Timestamp)

PreviousAutenticação em Sistemas Distribuídos NextSistemas Operativos

Last updated 3 years ago

hashtagExplora sistemas externos de confiança (TTP) para autenticação

hashtagServiços de AAA

hashtagVantagens

hashtagDesvantagens

hashtagRequer agente que expõe utilizadores remotos nos sistemas locais

hashtagPode fornecer informação adicional do perfil

hashtagSistemas que fazem uso de SSO têm de ser aprovisionados

hashtagLDAP - Lightweight Directory Access Protocol

hashtagProtocolo para manter um diretório de informação

hashtagAcesso ao diretório pode ter partes públicas e restritas

hashtagLDAP Bind: associa uma sessão a um utilizador

hashtagKerberos

hashtagProtocolo de autenticação para ambientes de rede

hashtagSuporta autenticação mútua

hashtagQuarto entidades chave

hashtagKey Distribution Center = AS + TGS ( + base de dados)

hashtagKerberos: Client Authn

hashtagUtilizador envia pedido ao AS com o seu ClientID

hashtagAS responde com 2 mensagens:

hashtagUtilizador usa a sua chave para decifrar A

hashtagEnvia pedido ao TGS com 2 mensagens