SafeWord PremierAccess - informacje ogólne -

Transkrypt

1 SafeWord PremierAccess - informacje ogólne - SPIS TRECI Informacje ogólne na temat SafeWord Premier Access Cel opracowania... PremierAccess wprowadzenie... Rozwizanie AAA... Replikacja i odporno na awarie... Uwierzytelnianie przy pomocy tokenów... Przegld komponentów... Przegld obsługiwanych agentów programowych... Przywileje i opcje dostpu dla uytkowników... Grupy administracyjne...

2 Celem niniejszego opracowania jest zaprezentowanie systemu SafeWord Premier Access. Przyblia ono definicje poj odnoszcych si do tego produktu oraz dostarcza dodatkowych informacji na temat zada i funkcji zwizanych z jego zarzdzaniem. SafeWord Premier Access. To kompleksowe oprogramowanie do silnego uwierzytelniania uytkowników i zarzdzania ich ktami. Mona je w pełni dostosowywa do upodoba klientów i cile współpracuje ze stosowanymi w twoim przedsibiorstwie sposobami uwierzytelniania. Pozwala to kontrolowa dostp do sieci wszystkich twoich uytkowników, włczajc w to uytkowników wewntrznych, zdalnych pracowników korzystajcych z połcze wdzwanianych, klientów i dostawców oraz partnerów handlowych. Uytkownicy maj dostp jedynie do wybranych przez ciebie zasobów za pomoc rónorodnych punktów dostpu, łcznie z przegldark WWW, VPN oraz zdalnym dostpem za pomoc serwerów RADIUS. Silne uwierzytelnianie. Uwierzytelnianie rozumiane jest jako proces udowodnienia, e kto lub co jest godne zaufania lub prawdziwe. Uwierzytelnianie realizowane jest poprzez przedstawienie dowodu tosamoci. Kiedy wypisujesz czek jako form płatnoci za dane dobra, równie potwierdzasz sw tosamo przed osob przyjmujc twój czek. Dowód tosamoci jest dowodem na to, e jeste t sam osob, której imi widnieje na czeku, który wykorzystujesz jako form płatnoci. PremierAccess wymaga uwierzytelniania od wszystkich uytkowników chccych wej do chronionego systemu. Uytkownik poszukujcy dostpu do aplikacji lub zasobów chronionych musi przedstawi czynniki uwierzytelniajce, które potwierdz, e jest on t osob, za któr si podaje. Silne uwierzytelnianie to takie, które wymaga kilku czynników i wykorzystuje zaawansowane technologie w celu zweryfikowania tosamoci uytkownika. Prostym przykładem wieloczynnikowego uwierzytelniania jest twoja karta bankomatowa. Aby dokonywa operacji z twoim bankiem musisz co posiada (twoja karta do bankomatu) i musisz co wiedzie (swój PIN). O tym, e twoje konto jest bezpieczne moesz by przekonany wiedzc, e nawet w przypadku zgubienia karty do bankomatu, nie jest ona nikomu do niczego potrzebna, o ile ten kto nie zna do niej PIN-u. Jest to przykład uwierzytelniania dwuczynnikowego. Ponisze uwierzytelnianie jest okrelone poprzez wymóg posiadania hasła. Dla uytkowników, którzy potrzebuj dostpu do mniej wartociowych zasobów sieci (takich jak ), prawdopodobnie wystarczy samo hasło. Jednake w przypadku uytkowników, którzy potrzebuj dostpu do bardziej cennych dla organizacji zasobów sieci, konieczne moe by stworzenie wieloczynnikowego uwierzytelniania, z indywidualnie zdefiniowan sił uwierzytelniania dla kadego z nich. Rysunek 3 przedstawia etap uwierzytelniania, który jest pierwszym z funkcji serwera AAA. Okrelenie liczby czynników uwierzytelniania, jakich bd potrzebowa twoi uytkownicy oraz ustalenie poziomu bezpieczestwa lub sił czynników uwierzytelniajcych zwiksza twoj zdolno do zabezpieczenia cennych i niezbdnych zasobów w duo wikszym stopniu. Czynniki uwierzytelniajce i ich siła s istotn czci polityki bezpieczestwa, powinny by wic skrupulatnie rozwaone, zanim tokeny zostan przekazane twoim uytkownikom.

3 Autoryzacja. Autoryzacja definiowana jest jako proces nadawania pozwole. Serwer AAA PremierAccess udziela lub odmawia dostpu do chronionych aplikacji i zasobów. Sprawdza on kad prob uytkownika o uzyskanie dostpu w oparciu o wytyczne, które sformułowałe dla danego uytkownika. Rysunek 4 przedstawia etap autoryzacji, który jest drugim z procesów serwera AAA. Prawa dostpu definiuj polityk bezpieczestwa twojej organizacji, decydujc o tym, kto moe si zalogowa oraz do których aplikacji i zasobów został im przyznany dostp. Prawa dostpu, które formułujesz mog zosta zastosowane do grup uytkowników, które maj wspólne potrzeby dostpu, poprzez przydzielenie ich do konkretnych grup, a nastpnie definiujc prawa, które umoliwiaj lub zabraniaj dostpu do danych zasobów. Prawa dostpu to kolejna istotna cz twojej polityki bezpieczestwa. Listy kontroli dostpu. W przypadku PremierAccess wszystkie proby o dostp do zasobów s przetwarzane przez jedn lub wicej list kontroli dostpu (ACL). Lista kontroli dostpu jest to zbiór praw dostpu, które okrelasz dla chronionych przez ciebie przez zasobów. Zasoby o małym znaczeniu bd chronione przez mniej restrykcyjne prawa, podczas gdy zasoby o duym znaczeniu bd obwarowane zaostrzonymi przepisami. Listy kontroli dostpu okrelaj wic twoj polityk bezpieczestwa. PremierAccess dostarczany jest z dwiema domylnymi listami kontroli dostpu (ACL): DEFAULT_LOGIN_ACL oraz DEFAULT_WEB_ACL. Obydwie s przechowywane w GLOBAL DATA, stanowic jedn z grup administracyjnych w PremierAccess. Listy kontroli dostpu s miejscem, gdzie przechowywane s twoje ustawienia polityk bezpieczestwa. Listy kontroli logowania przechowuj prawa, które kontroluj dostp do twoich serwisów sieciowych oraz przegldarki WWW. Wszyscy uytkownicy, zanim uzyskaj pozwolenie na dostp do twoich serwerów, musz zosta autoryzowani przez list kontroli logowania. Listy kontroli dostpu do WWW to specjalny rodzaj listy kontroli dostpu, które s wykorzystywane szczególnie do definiowania polityki bezpieczestwa w obrbie serwera stron WWW. Strzeg one dostpu do pojedynczych adresów i ich treci na twoich serwerach WWW. Dziki listom kontroli dostpu do WWW moesz zdefiniowa prawa dostpu z dokładnoci do adresu URL. Zawarto ACL. Lista ACL zawiera reguły dostpu. Okrelaj one uprawnienia poszczególnych uytkowników ustalane na podstawie polityk bezpieczestwa i stanowi najistotniejsz cz list ACL. Kiedy uwierzytelniony uytkownik usiłuje dosta si do twojej sieci, okolicznoci tego działania musz spełni odpowiednie kryteria, by nastpiła autoryzacja i uwierzytelnienie. Kryteria dostpu okrelane s podczas tworzenia zawartoci listy ACL. Na przykład, w licie kontroli logowania moesz ustali parametry, które zezwalaj na dostp do konkretnych zasobów, dla wszystkich uytkowników, lub dla ograniczonej liczby uytkowników w zalenoci od roli, adresu IP, agenta PremierAccess lub konkretnej aplikacji czy okrelonej nazwy uytkownika. Te informacje zawiera twój wpis. Po tym jak zdefiniujesz temat wpisu, nakładasz ograniczenia, które bd miały zastosowanie do tych uytkowników, którzy podlegaj pod ten opis. Moesz ograniczy cały dostp, zezwoli na nieograniczony dostp lub przyzna dostp w oparciu o sił czynnika uwierzytelniania, ograniczenia daty oraz dnia i czasu.

4 Role. W PremierAccess rolami nazywane s zakładki lub etykiety, które identyfikuj grupy uytkowników posiadajcych wspólne prawa dostpu. Innymi słowy, role definiuj zbiór reguł dostpu odnoszcych si do konkretnych grup uytkowników. Moesz dokona kategoryzacji uytkowników na role w oparciu o ich powizania z twoj firm. Na przykład, moesz stworzy role dla kadry zarzdzajcej, ksigowoci, zasobów ludzkich, IT i pracowników administracji. Inn moliwoci jest stworzenie ról o nazwach, które opisuj niektóre parametry autoryzacji uytkowników, na przykład uytkownicy z nocnej zmiany. Mona take stworzy role dla serwerów dostpu (za pomoc nazwy serwera lub adresu IP), z rol dla twojego serwera poczty, serwerów zasobów ludzkich, finansów i sprzeday. W takiej sytuacji stworzyłby wpis listy ACL dla kadego z tych zasobów. Uwaga: Kada rola, aby miała znaczenie w obrbie twojej polityki bezpieczestwa PremierAccess, musi by zwizana z odpowiedni list kontroli logowania. Pomimo e role nie s wymaganym atrybutem uytkownika, s wartociowe poniewa oferuj czytelne sposoby wdraania i modyfikowania jednolitych zestawów ustawie dostpu dla duych liczb uytkowników. Administracja. Administracja w Premier Access to zbieranie, zapisywanie i rozliczanie kadego procesu uwierzytelniania zachodzcego w chronionej sieci. To kolejny, trzeci etap procesu uwierzytelniania typu AAA. Serwer AAA zapisuje wszystkie zdarzenia, które nastpnie mona odtworzy przy pomocy funkcji przeszukiwania logów w konsoli administracyjnej. Audyt logowania. Podczas kadej próby dostpu zapisywane s nastpujce informacje dotyczce rozlicze: Daty i godziny logowania Statusu logowania (udane lub nieudane) Naruszenia autoryzacji Najwiesze wpisy audytu przechowywane s w bazie danych do momentu archiwizacji. Wszystkie archiwa z informacjami pochodzcymi z audytów s przechowywane na serwerze administracyjnym. Za pomoc funkcji Manage Audit Log Archive w konsoli administracyjnej moesz wczytywa i usuwa wpisy archiwum audytu. Moesz te ustali jak czsto wpisy maj by automatycznie archiwizowane. Kluczowe słowa w pliku sccservers.ini mona ustawi tak, aby kontrolowały liczb procesów wykorzystywanych do ładowania zestawów archiwum oraz liczb wpisów do przetworzenia w jednym procesie. Ponadto, czynnoci takie jak dodawanie, usuwanie lub modyfikowanie wpisów powoduj powstawanie oddzielnych zapisów audytu, zapewniajc ledzenie wszelkich operacji na bazie danych. Zauwa: Serwer administracyjny bywa czasem okrelany mianem serwera logów w interfejsie uytkownika.

5 Replikacja i odporno na awarie. Replikacja odgrywa kluczow rol przy konfiguracji odpornoci na awarie w obrbie PremierAccess. Jest to proces powielania lub kopiowania informacji z bazy danych z jednego urzdzenia na jedno lub wicej zdalnych urzdze. Replikacja jest realizowana na serwerze administracyjnym dla kadej instalacji PremierAccess. Architektura z topologi piercienia. PremierAccess wykorzystuje dwukierunkow architektur z topologi piercienia. W takiej topologii kade urzdzenie jest uznawane za punkt replikacji i punkty te tworz logiczn ptl. Kady punkt replikacji ma unikalny adres i komunikuje si z dwoma ssiednimi: logicznym nastpnym punktem replikacji i logicznym poprzednim punktem replikacji tego piercienia. Jeeli w danym piercieniu s jedynie dwa punkty replikacji, kady z nich bdzie miał nastpny ssiedni punkt replikacji według schematu przedstawionego na rysunku 9. Jak działa replikacja. Replikacja PremierAccess ledzi w czasie rzeczywistym wszystkie zmiany wpisów bazy danych. Informacja o kadej zmianie jest zapisywana w rekordach zmian znajdujcych si w czci bazy głównej nazywanej dziennikiem zmian. Wpisy zmian uywane s do rozsyłania zmian do ssiadujcych punktów replikacyjnych w piercieniu. Natychmiast po uaktualnieniu wszystkich ssiadów, wpisy zmian s usuwane. Uwaga: Log zmian (QueryChangeLog.bat) nie moe by modyfikowany i jest dostpny jedynie dla nowych zmian w bazie. Jest to wewntrzny mechanizm, wykorzystywany przez PremierAccess do wiarygodnego ledzenia zmian w swojej bazie danych. Tworzenie wpisów zmian i rozsyłanie informacji o zmianach s niezalenymi działaniami, co oznacza, e mona ledzi zmiany w bazie odsuwajc jednoczenie proces replikacji na póniej. By uzyska dokładne informacje na temat tworzenia piercienia replikacji, zapoznaj si z instrukcj instalacji SafeWord PremierAccess. Uwierzytelnianie przy pomocy tokenów. Terminem token firma SecureComputing okrela dynamiczne generatory haseł. Dziki PremierAccess mona zastosowa wiele technik uwierzytelniania tosamoci uytkowników. System obsługuje tokeny: sprztowe programowe urzdzenia USB, nteligentne karty, certyfikaty cyfrowe tradycyjne hasła.

6 Tryby uwierzytelniania. Dostpne s dwa tryby uwierzytelniania: synchroniczny i asynchroniczny. W zalenoci od konfiguracji twojej sieci, kada z nich ma swoje zalety i wady. Wanym jest, aby dokładnie rozway, który typ uwierzytelniania bdzie lepiej spełniał wymagania twojego systemu i twoich uytkowników. Uwierzytelnianie synchroniczne. Uwierzytelnianie synchroniczne nie jest uzalenione od wygenerowania wartoci wejciowej przez serwer uwierzytelniajcy. Zamiast tego zarówno serwer jak i token s uzalenione do jakiej wartoci zewntrznej (czas lub numer zdarzenia). Ta warto jest łczona ze specyficznym dla uytkownika tajnym kluczem i w wyniku przetworzenia przy pomocy skomplikowanych algorytmów daje dynamiczne hasło. Jeli zewntrzna warto powizana z tym hasłem pasuje, dostp zostaje przyznany. Realizowane jest to przy pomocy tokenów uzalenionych od czasu lub pracujcych synchronicznie ze zdarzeniami. Synchronizacja uzaleniona od czasu. W przypadku synchronizacji uzalenionej od czasu, zarówno serwer jak i token s synchronizowane z wbudowanymi zegarami. Serwer i token ustalaj, bazujc na biecej dacie i czasie, jakie hasło jest w danym momencie wane. Uwaga: Secure Computing nie produkuje bazujcych na czasie, synchronicznych urzdze uwierzytelniajcych Synchronizacja ze zdarzeniami. Synchronizacja ze zdarzeniami wykorzystuje ustalon sekwencj haseł, by ustali które z nich jest w danym momencie wane. Serwer ustala, które hasło jest wane ledzc gdzie w sekwencji numerów powinien znajdowa si token. Synchronizacja pomidzy serwerem i tokenem moe by utrzymywana nawet jeli token znajduje si kilka haseł przed serwerem. Synchroniczne uwierzytelnianie realizowane jest nastpujco: 1. Uytkownik próbuje połczy si z chronionym systemem wpisujc swój identyfikator oraz hasło, korzystajc ze swojego tokena. 2. Serwer uwierzytelniajcy sprawdza, czy to hasło zgadza si z wczeniej ustalonym jeli hasło pasuje (do odpowiedniego kodu szyfracji), uytkownik uzyskuje dostp do systemu jeli hasło nie pasuje, uytkownik nie dostaje prawa dostpu do systemu. Rada: Korzy stosowania trybu synchronicznego uwierzytelnianie synchroniczne nie wymaga by uytkownicy wpisywali kod do tokena (wyzwania), jest wic łatwiejszy w uyciu. Dodatkowo, prawie wszystkie protokoły uwierzytelniania obsługuj tokeny synchroniczne. Uwierzytelnianie asynchroniczne. Asynchroniczne uwierzytelnianie wykorzystuje system pyta i odpowiedzi. Wymaga on, aby serwer uwierzytelniajcy wygenerował kod pytania dla uytkownika. Ten kod musi nastpnie zosta wprowadzone do tokena, który generuje jednorazowe hasło - odpowied. Uwierzytelnianie asynchroniczne odbywa si nastpujco: 1. Uytkownik próbuje połczy si z chronionym systemem wpisujc swój identyfikator, a PremierAccess odpowiada wywietlajc kod pytania. 2. Uytkownik wpisuje kod do swojego tokena, który przekodowuje numer i wywietla jednorazowe hasło - odpowied.

7 3. Uytkownik wpisuje to hasło w polu hasła, a nastpnie serwer uwierzytelniajcy sprawdza czy hasło zgadza si z (odpowiednim) kodem (szyfracji) wygenerowanym niezalenie przez serwer. jeli hasło pasuje do odpowiedniego kodu (szyfracji), uytkownik uzyskuje dostp jeli hasło nie pasuje do odpowiedniego kodu, uytkownik otrzymuje odmow dostpu Rada: Korzy stosowania trybu asynchronicznego główn zalet stosowania uwierzytelniania asynchronicznego jest to, e jeden token moe by uywany z nieograniczon liczb serwerów i systemów uwierzytelniajcych. Ten sam token pracuje zawsze, gdy tylko uytkownik jest zarejestrowany. W dzisiejszym wiecie wielu sieci i systemów jest to istotna zaleta. Uwaga: Uwierzytelnianie asynchroniczne wymaga od uytkowników wicej pracy i nie jest zgodne ze starszymi protokołami uwierzytelniajcymi. Tokeny sprztowe. Sprztowe tokeny przewanie wygldaj jak narczne urzdzenia elektroniczne wielkoci karty kredytowej lub jak brelok z ciekłokrystalicznym ekranem (LCD) i prost klawiatur. Rysunek pokazuje sprztowe tokeny, które oferuje Secure Computing. Kiedy PremierAccess prosi uytkownika o podanie dynamicznego hasła, autoryzowany uytkownik po prostu naciska jeden lub wicej przycisków na swoim sprztowym tokenie i właciwe dynamiczne hasło jest natychmiast wywietlane. Sprztowe tokeny, takie jak popularne SafeWord Gold 3000, Silver 2000 i karty Platinuim firmy Secure Computing, nigdy nie wymagaj adnego rodzaju bezporedniego elektronicznego podłczenia z komputerem czy sieci. Tokeny s urzdzeniami zaprogramowanymi do wykonywania unikalnych oblicze kryptograficznych wykorzystywanych przez systemy PremierAccess. Tokeny programowe. Secure Computing wykorzystuje własnej nazwy dla swoich tokenów programowych nazywajc je SofToken. PremierAccess obsługuje nastpujce programowe tokeny udostpniane przez Secure Computing: SafeWord SofToken II SafeWord SofToken II dla telefonu Ericsson R380s SafeWord e.id Authenticator dla urzadze Palm SofToken II. SofToken II jest pracujcym na platformie PC tokenem programowym. Jest on wykorzystywany do generowania jednorazowych haseł w komputerach pracujcych pod

8 kontrol systemu Windows 98, Me, NT, 2000 lub P. Moe by wykorzystywany w trybie synchronicznym jak i asynchronicznym, ale pracuje jedynie na komputerze, na którym jest zainstalowany, co oznacza, e musi by zainstalowany na kadym komputerze, z którego bdziesz uwierzytelniał si w systemie PremierAccess. Rysunek 11 przedstawia ekran logowania SofToken II. Okno logowania SofToken II SofToken II pracuje z systemem Windows 98 w wersji A lub nowszej SofToken dla telefonów Ericsson R380s. SofToken dla telefonów Ericsson R380s jest oprogramowaniem słucym do generowania jednorazowych haseł przy pomocy telefonu R380s. Uywany z komputerem lub serwerem chronionym przez serwer uwierzytelniajcy PremierAccess pozwala uytkownikom bezpiecznie korzysta ze zdalnego dostpu do sieci (na przykład przy pomocy modemu lub klienta VPN) lub lokalnie korzystajc z silnego uwierzytelniania. SafeWord e.id Authenticator dla platformy systemowej Palm. SafeWord e.id Authenticator firmy Secure Computing dla komputerów Palm jest oprogramowaniem, które generuje jednorazowe hasła uywajc komputerów Palm Pilot Professional, Palm III, Palm IIIx, Palm V, Palm VII i innych urzdze wykorzystujcych system operacyjny Palm. Wicej informacji na temat tych rozwiza do uwierzytelniania mona znale w pliku Authenticator Administration Guide dostarczanym na płytce Deployment CD. Certyfikaty cyfrowe i inteligentne karty. Cyfrowe certyfikaty s dokumentami elektronicznymi, które opisuj osob w sposób który jest bardzo trudny do sfałszowania. PremierAccess pozwala wykorzystywa cyfrowe certyfikaty jako czynniki uwierzytelniajce. Moe tworzy bazujce na standardach cyfrowe certyfikaty.509 słuce do uwierzytelniania uytkowników. Dodatkowo, uznaje certyfikaty przyznawane przez wiodcych producentów PKI, włczajc w to firmy Verisign, Entrust, Thawte i Microsoft. Cyfrowe certyfikaty s czsto przechowywane w inteligentnych kartach, a PremierAccess jest zgodny z cyfrowymi certyfikatami przechowywanymi w inteligentnych kartach oferowanych przez ActivCard, DataKey, Gemplus i Schlumberger. Tokeny USB. Urzdzenia USB, które instaluje si bezporednio w porcie USB mog take słuy do przechowywania certyfikatów. Urzdzenia oferowane przez Rainbow, Aladdin oraz innych producentów s obsługiwane przez PremierAccess. Aby uzyska wicej informacji na temat uywania PremierAccess i tokenów USB skorzystaj z Authenticator Administration Guide pliku PDF zawartego na Deployment CD.

9 Urzdzenia uwierzytelniania biometrycznego. Uwierzytelnianie biometryczne jest procesem, w którym unikalna informacja o uytkowniku jest przetwarzana na posta cyfrow dla celów identyfikacji. Niedawny, istotny postp w tej technologii doprowadził do powstania takich urzdze biometrycznych jak Sony FIU-700, który pozwala na identyfikacj uytkowników na podstawie unikalnej informacji o ich odciskach palców. PremierAccess obsługuje taki sposób uwierzytelniania. Stałe hasła. PremierAccess obsługuje take tradycyjne stałe lub zapamitywane hasła. Niektórzy uytkownicy mog posiada urzdzenia do silnego uwierzytelniania, podczas gdy inni mog korzysta ze stałych haseł. Hasła, które nie spełniaj wymaga administratora s odrzucane wród nich mog by np. hasła wczeniej wykorzystane lub krótsze ni ustalone minimum. MobilePass i urzdzenia mobilne. MobilePass firmy Secure Computing eliminuje potrzeb, by uytkownicy posiadali, pamitali i zarzdzali wieloma hasłami. MobilePass jest rozszerzeniem do PremierAccess, które pozwala uytkownikom uzyskiwa jednorazowe hasła uwierzytelniajce przy pomocy przenonych urzdze narcznych. Takie rozwizanie rozszerza moliwoci stosowania silnego uwierzytelniania na jeszcze wiksz grup uytkowników. Uytkownicy nie potrzebuj instalowa na swoich urzdzeniach adnego dodatkowego oprogramowania i korzystajc z MobilePass nie musz nosi adnych dodatkowych urzdze. Wystarczy, e uywane telefony bezprzewodowe, pagery czy palmtopy mog odbiera informacje w postaci lub SMS, jako e hasła s przesyłane w tej postaci. MobilePass wykorzystuje t sam technik dynamicznego generowania haseł, która jest stosowana w sprztowych i programowych tokenach SafeWord. Uwierzytelnianie urzdze. W uzupełnieniu uwierzytelniania uytkowników, PremierAccess zawiera funkcjonalno, która pozwala na uwierzytelnianie urzdze wykorzystywanych do realizowania dostpu do sieci (na przykład komputer, z którego uytkownik próbuje uzyska dostp). Urzdzenia s uwierzytelniane przy uyciu infrastruktury First Authority firmy Phoenix Technology. Pozwala ona na bezpieczn i unikaln identyfikacj urzdze. Po uwierzytelnieniu uytkownika i urzdzenia, PremierAccess moe ustali czy konkretny uytkownik ma prawo do uywania danego urzdzenia (lub urzdze). Wszystkie istniejce nazwy uytkowników i systemy haseł pozostaj na miejscu, gdy stosowane jest uwierzytelnianie urzdze.

10 Przegld komponentów. PremierAccess składa si z czterech głównych elementów i wielu elementów opcjonalnych. Te elementy współpracuj ze specjalnymi modułami programowymi zwanymi agentami. Umoliwia to kontrolowanie dostpu uytkowników do chronionych zasobów w chronionej sieci. Wszystkie główne i opcjonalne elementy PremierAccess s zgodne z systemami Windows i Solaris. Komponenty, podsumowanie ich funkcji oraz informacja o tym, czy s elementem głównym czy opcjonalnym zawarte s w tabeli 1. Komponent Podsumowanie funkcji Główny Opcja Serwer wykonuje polecenia z AC i innych klientów Administracyjny administracji (AS) zapewnia bezpieczny dostp do serwera bazy danych wymagajc prawidłowego uwierzytelnienia generuje certyfikaty.509 przy pomocy wewntrznych kluczy kryptograficznych podpisuje cyfrowo kady wpis chronic integralno Serwer Uwierzytelniania, Autoryzacji i Rozlicze (AAA) Serwer bazy danych Konsola administracyjna (AC) Serwer (ES) wyda Serwer logowania WWW (Web Login Server) danych przyznaje lub odmawia dostpu do zasobów i aplikacji weryfikuje cyfrowe certyfikaty zapisuje próby uwierzytelnienia moe zosta skonfigurowany tak, by wysyłał hasła na telefon komórkowy przy pomocy modułu (dodatku) MobilePass słuy jako repozytorium danych PremierAccess umoliwia administrowanie rodowiskiem PremierAccess i politykami bezpieczestwa zarówno zdalnie jak i lokalnie pozwala na dodawanie, importowanie i zarzdzanie uytkownikami i certyfikatami cyfrowymi oraz zwizanymi z tym politykami weryfikacji tworzy grupy i podgrupy, pozwalajc zorganizowa uytkowników i dane PremierAccess w celu przekazania zada innym administratorom umoliwia przypisywanie czynników uwierzytelniajcych do uytkowników i urzdze pozwala na przegldanie dziennika zdarze oferuje funkcj samodzielnej rejestracji uytkowników przez przegldark WWW pozwala (dopisujcym) rejestrujcym si uytkownikom przetestowa (elementy) czynniki uwierzytelniajce natychmiast po (dopisaniu si) rejestracji. udostpnia interfejs WWW dla serwera AAA obsługuje róne metody uwierzytelniania włczajc stałe i dynamiczne hasła oraz cyfrowe certyfikaty tworzy uwierzytelnienia sesji, które s dowodem prawidłowego uwierzytelnienia uytkowników Tabela 1. Główne i opcjonalne elementy PremierAccess Komponent Podsumowanie funkcji Główny Opcja Serwery oparte o RADIUS:

11 RADIUS Uwaga: opcjonalne serwery uywane do VPN i zdalnych konfiguracji wdzwanianych umoliwia urzdzeniom VPN, ruterom i serwerom komunikacyjnym na uywanie protokołu RADIUS do komunikacji z PremierAccess wysyła nazwy uytkowników oraz ich hasła do PremierAccess gdzie dokonywana jest ich autoryzacja RADIUS dla Ascend: umoliwia klientom wykorzystanie protokołu Ascend RADIUS do komunikacji z PremierAccess umoliwia dowolnemu komunikacyjnemu serwerowi terminali lub innemu oprogramowaniu klienta korzystajcemu z RADIUS dla Ascend na uwierzytelnianie przez PremierAccess zainstalowany na jednym z serwerów SAFEWORD PremierAccess Wtyczka Authentication Broker Wtyczka Active Directory Wtyczka MobilePass Wtyczka Password Checker Ksigowanie RADIUS: działa jako klient serwera ksigowania RADIUS nasłuchujc w poszukiwaniu poprawnie skonfigurowanych pakietów przekazuje zaksigowane informacje o kliencie do i z okrelonego serwera ksigowania RADIUS rozszerzenie dla serwera AAA rozszerza dostp do chronionych przez PremierAccess zasobów na inne istniejce w sieci bazy danych o uytkownikach takie jak LDAP czy Active Directory Umoliwia sukcesywn migracj ze starszych systemów uwierzytelniania przy pomocy tokenów Pozwala realizowa bazujce na RADIUS uwierzytelnianie w przypadku, gdy dane o uytkownikach składowane s w Active Directory, a informacje o tokenach w PremierAccess umoliwia odbieranie haseł uwierzytelniajcych przy pomocy dowolnego bezprzewodowego urzdzenia obsługujcego umoliwia klientom bardziej szczegółowe ustalenie warunków definiowania stałych haseł w ich organizacjach Przegld obsługiwanych agentów programowych. PremierAccess wykorzystuje agentów programowych, które s modułami programowymi specyficznymi dla PremierAccess i które umoliwiaj dostp do zasobów zabezpieczonej sieci. Agenci zachowuj si jak punkty dostpu uytkowników (UAP). Tabela 2 przedstawia krótki opis obsługiwanych przez PremierAccess agentów. Agent programowy Agent Universal Web (UWA) Opis Agent Uniwersal Web usadowiony jest w strumieniu danych pomidzy przegldark uytkownika i aplikacj WWW znajdujc si na serwerze chronionym przez UWA. UWA jest kompatybilny z Internet Explorer 5.0 lub wyszym z odpowiednimi patchami bezpieczestwa oraz z Netscape 4.75 lub nowszym. By uzyska

12 wicej informacji na temat Universal Web Agent, zapoznaj si z instrukcj administracji Universal Web Agent Agent SafeWord SID2 Agent SID2 UNI jest oprogramowaniem logowania SafeWord, które UNI zastpuje mechanizmy logowania systemu operacyjnego. SID2 pobiera nazw uytkownika oraz hasło i komunikuje si z serwerem PremierAccess w celu uwierzytelnienia tego uytkownika. By uzyska wicej informacji na temat SID2 zapoznaj si z instrukcj administracji SafeWord ID 2 (SID2) Agent SafeWord dla Agent SafeWord dla usług terminalowych jest dodatkiem rozszerzajcym, usług terminalowych który zapewnia uwierzytelnianie SafeWord zarówno dla prób logowania uytkowników zdalnych jak i uytkowników konsoli, włczajc w to rodowisko Citrix. By uzyska wicej informacji na temat usług terminalowych zapoznaj si z instrukcj administracji SafeWord Agent for Terminal Services Agent SafeWord dla Agent SafeWord dla domen Windows umoliwia organizacjom zabezpieczy domen Windows dostp do domen Windows przy wykorzystaniu technologii uwierzytelniania SafeWord. By uzyska wicej informacji na temat agenta SafeWord dla domen Windows zapoznaj si z instrukcj administracji SafeWord Agent for Windows Domains Agent SafeWord dla Pluggable Authentication Module (PAM) jest szkieletem, który umoliwia PAM aplikacjom wymagajcym uwierzytelniania i innych usług bezpieczestwa, by korzystały z tych usług w podstawowy sposób. Wykorzystujc PAM usługi uwierzytelniania mog by uaktualniane bez potrzeby zmian w kodzie ródłowym tych aplikacji, co pozwala w łatwy sposób wykorzysta najnowsze technologie i unowoczenienia. Obsługa PAM jest wbudowan funkcj systemu operacyjnego SUN Solaris, poczynajc od wersji 2.6. Agent SafeWord PAM pozwala skorzysta z uwierzytelniania SafeWord w zgodnych z PAM aplikacjach dostarczanych przez SUN i innych, takich jak logowanie, telnet czy ftp. By uzyska wicej informacji na temat agenta PAM zapoznaj si z instrukcj administracji SafeWord Agent for PAM Agent SafeWord dla Agent SafeWord dla RAS chroni dostpu do połcze wdzwanianych RAS Microsoft RAS realizujc uwierzytelnianie uytkowników przy pomocy serwera uwierzytelniajcego SafeWord. Agent SafeWord dla RAS został zaprojektowany tak, aby pobra identyfikator i hasło uytkownika i by uwierzytelni go uywajc PremierAccess. Agent SafeWord dla Agent SafeWord dla NMAS chroni informacje w twojej sieci. Oferuje Novell Modular dodatkowe sposoby uwierzytelniania dla sieci NetWare 5, by Authentication Service zagwarantowa, e osoby dostajce si do twojej sieci s tymi, za które si (NMAS) podaj. ichain jest zintegrowanym rozwizaniem bezpieczestwa oferowanym przez firm Novell. Rozwizanie to oferuje bazujce na tosamoci usługi zabezpieczenia WWW, bezpiecznego uwierzytelniania, dostpu do portali, treci oraz aplikacji WWW. ichain wykorzystuje protokół Remote Authentication Dial-up Service (RADIUS). PremierAccess połczony z ichain daje zintegrowane rozwizanie bezpieczestwa, które oferuje oparte o tosamo bezpieczne uwierzytelnianie i dostp do portali ichain, treci WWW ichain i aplikacji WWW. Tabela 2.Oobsługiwani agenci programowi Oprogramowanie instalacyjne oraz dokumentacj dla tych agentów mona znale na SafeWord PremierAccess Deployment CD. Agenci programowi oraz dokumentacja jest

13 czsto uaktualniana. Najbardziej aktualne wersje dostpne s na stronie Przywileje i prawa uytkowników. Uytkownicy w bazie danych PremierAcecss s podzieleni na trzy poziomy administracyjne: administratorów systemu, administratorów grup (zawiera lokalnych administratorów i pracowników help desk) oraz zwykłych uytkowników. Te trzy poziomy uytkowników dziel si na dwie kategorie. Jedna z przywilejami administracyjnymi (administratorzy systemu, lokalni administratorzy oraz pracownicy help desk) oraz druga bez takich przywilejów (zwykli uytkownicy). Tabela 3 podsumowuje poziomy uytkowników i pokazuje ich status odnonie uprawnie administracyjnych. Poziom Uprzywilejowany Nieuprzywilejowany Administratorzy systemu Administratorzy grup (lokalni administratorzy i pracownicy help desku) Zwyczajni uytkownicy Tabela 3. Poziomy uytkowników i ich przywileje Uytkownicy uprzywilejowani. Uytkownicy uprzywilejowani mog administrowa niektórymi elementami systemu PremierAccess. Zakres ich administracji zaley od poziomu uprawnie. Ogólnie mówic, administratorzy mog tworzy i zarzdza grupami i uytkownikami, którzy znajduj si pod ich kontrol. S trzy typy uytkowników administrujcych: administratorzy systemu, administratorzy lokalni i pracownicy help desk. Lokalni administratorzy oraz pracownicy help desk s zbiorczo nazywani administratorami grup poniewa ich uprawnienia s ograniczone do tych grup administracyjnych, które s im przypisane przez administratorów systemu. Tabela 4. Lista praw uprzywilejowanych grup uytkowników. Typ uytkownika Poziom Uprawnienia uprzywilejowanego uprzywilejowania Administrator Najwyszy Wykonuje wszystkie zadania administracyjne włczajc: systemu poziom uprawnie modyfikowanie konfiguracji systemu (ustawienia) backup i odtwarzanie bazy danych Administrator lokalny Pracownicy desk help redni poziom uprawnie Najniszy poziom uprawnie tworzenie innych uytkowników administrujcych administruj grupami i uytkownikami stworzonymi i przypisanymi im przez administratorów systemowych administruj elementami danych (uytkownicy, tokeny, role itp.) które znajduj si w przypisanych grupach modyfikuj specyficzne elementy informacji o uytkownikach i podgrupach, do których s przypisani Uytkownicy nieuprzywilejowani. Uytkownicy, którym nie przyznano przywilejów administratora systemu, lokalnego administratora czy pracownika pomocy technicznej okrelani s mianem zwyczajnych uytkowników. Wikszo twoich uytkowników bdzie uytkownikami nieuprzywilejowanymi. S to zwyczajni uytkownicy, którzy nie mog wykonywa adnych zada administracyjnych w PremierAccess.

14 Grupy administracyjne. Grupy administracyjne s wirtualnymi pojemnikami, które przechowuj uytkowników i inne obiekty (takie jak midzy innymi tokeny, listy ACL czy role). Grupy te pozwalaj administratorom systemu na łatwiejsze organizowanie i zarzdzanie duymi liczbami uytkowników. Uywajc grup, administratorzy systemu mog delegowa zadania administracyjne okrelonych grup w obrbie organizacji do administratorów lokalnych. Grupy i podgrupy uytkowników. Moesz tworzy grupy i organizowa je na wiele sposobów. Na przykład moesz zorganizowa je alfabetycznie, według oddziałów lub połoenia geograficznego. Moesz take zagnieda grupy w obrbie innych grup w celu dalszego ich podziału według hierarchii rodzic-dziecko, która funkcjonuje w twojej organizacji. Łczenie grup jest wymagane, poniewa kady z obiektów musi nalee do grupy, a uytkownik jest uwaany za grup. Uwaga: Umiejscowienie uytkownika w obrbie grupy administracyjnej nie ma absolutnie adnego znaczenia (na uwierzytelnianie) dla uwierzytelnienia tego uytkownika w PremierAccess. Grupy PremierAccess s jedynie organizacyjnymi zbiorami i nie powinny by mylone z ide grup stosowan w systemach Windows i UNI. Odpowiednikami grup znanych z Windows i UNI s w PremierAccess role. Typy grup. PremierAccess posiada dwa rodzaje grup uytkowników: globalne i lokalne Grupy globalne: zawieraj dane, takie jak listy ACL, role i profile, które moesz chcie udostpni innym administratorom. Umieszczenie w grupie globalnej czyni te obiekty widzialnymi bez prawa modyfikacji dla wszystkich uytkowników administrujcych. Uytkownicy i urzdzenia nie mog by umieszczane w grupach globalnych. Pozwala to unikn sytuacji, w której lokalni administratorzy maj przypadkowo przyznany dostp do uytkowników z innych grup. Grupy globalne i znajdujce si w nich obiekty mog by tworzone jedynie przez administratorów systemu. Grupy nie-globalne: s widzialne przez administratorów na poziomie systemu. Mog by take widziane przez administratorów lokalnych i pracowników help desk, którym przyznano odpowiednie zadania administracyjne dla tych grup. Daje to administratorom systemu moliwo przypisania administratorów lokalnych i pracowników help desk do okrelonych grup, nie udostpniajc im jednoczenie dostpu do innych. Grupy te zawieraj przewanie uytkowników, ale mog zawiera take role, listy ACL, tokeny i profile czynników uwierzytelniajcych oraz ustalenia które odnosz si jedynie do uytkowników w tych grupach lokalnych. Umieszczajc uytkowników w nie-globalnych grupach masz moliwo podzielenia duej iloci uytkowników na mniejsze grupy, które s niezalene od innych grup na tym samym poziomie hierarchii, a nastpnie przydzieli odpowiednich administratorów, by nimi zarzdzali. Uwaga: Prawdopodobnie bdziesz miał tylko jedn grup globaln w swoim systemie. Wikszo grup bdzie grupami nie-globalnymi poniewa uytkownicy mog by umieszczani jedynie w grupach nie-globalnych.