Megnöveli a távoli hozzáférés biztonságát, csökkenti a költségeket, és leegyszersíti mind a távoli, mind a helyi felhasználói azonosítók felügyeletét. Mindez egyetlen helyről, a Novell-címtárszolgáltatáson® (NDS-en™) keresztül végezhető el.

VEZETI SSZEFOGLALÓ

Az Internet, az intranetek és extranetek gyakorlatilag megszüntették a vállalati hálózatokhoz való hozzáférés korlátait. A szélesebb kör hálózati hozzáférés izgalmas üzleti előnyöket kínál. Az alkalmazottak szinte bárhonnan – az irodájukból, úton, vagy akár közvetlenül az ügyfelek telephelyéről – elérhetik a hálózati szolgáltatásokat, amelynek teljesítménynövelő hatása vitathatatlan. Segít a cégeknek szorosabb kapcsolatokat kiépíteni az ügyfelekkel és az üzleti partnerekkel azáltal, hogy jobban megosztható az információ. Mindennek eredménye az üzletmenet megnövekedett bevételei és lecsökkent költségei.

A hálózati hozzáférés kibővítésének igen lényeges eszközei az Interneten keresztüli, behívásos kapcsolatok. A behívásos hozzáférés óriási mértékben megnöveli egy cég hálózati elérhetőségét, ugyanakkor komoly kihívásokat jelent a biztonság és a felügyelhetőség terén.

A Novell BorderManager™ Authentication Service (BMAS) erre kínál megoldást. Az ipari szabvány Remote Access Dial-in User Security (RADIUS) protokoll és a Novell-címtárszolgáltatás® (NDS™) kombinálásával lehetővé teszi a cégek számára, hogy biztonságos és felügyelhető behívásos hozzáférést biztosítsanak az Interneten keresztül.A BMAS és az NDS együttesével a cégek kihasználhatják a behívásos hozzáférés nyújtotta lényeges üzleti előnyöket, ugyanakkor megvédhetik vállalati hálózataikat és ellenőrzés alatt tarthatják a hálózatfelügyeleti költségeket.

Jelen mszaki leírás a BorderManager Authentication Service technikai ismertetését tartalmazza. Bemutatja, hogyan mködik a RADIUS protokoll, áttekinti az NDS előnyeit, végül elmagyarázza, hogyan foglalja bele a BMAS a RADIUS-t az NDS-be, hogy kihasználja mindkettő előnyeit. Jelen leírás hat fő részből áll:

A „Távoli hozzáférések biztonságának kihívásai” c. részben áttekintjük, hogyan terjesztette ki az Internet, az intranetek és más technológiák a hálózatokat a szervezet falain kívülre, hogyan növelték meg óriási mértékben az értékét, ugyanakkor milyen új problémákat vetnek fel a távoli felhasználók felügyeletével és biztonságával kapcsolatban.

A „RADIUS protokoll” c. rész a hálózathoz való behívásos hozzáférés biztosításával kapcsolatos biztonsági kihívásokat tartalmazza és ismerteti a jogos távoli felhasználók hitelesítésének és a jogosulatlan felhasználók kizárásának ipari szabványos módszerét.

A „Címtáralapú hálózatok és az NDS” c. rész a címtáralapú hálózatok előnyeit mutatja be és azt, hogyan egyszersíti le az NDS mind a hálózati felhasználók, mind a rendszergazdák életét.

Az „sszeáll az egész a BorderManager Authentication Service-szel” c. részben azt láthatjuk, hogyan foglalja bele a BMAS a RADIUS protokollt az NDS-be. Ez az innovatív megoldás biztosítja a behívásos hálózati kapcsolatok biztonságát, lehetővé teszi a távoli felhasználók számára, hogy kihasználják a valódi címtáralapú hálózatok nyújtotta előnyöket, és egyetlen adatbázisba gyjti az összes távoli és helyi felhasználói azonosítót – ahol azok egyetlen helyről, egyetlen eszközzel felügyelhetők. A BMAS ezenfelül proxy-szolgáltatásokat is biztosít a távoli hozzáférési szolgáltatások kihelyezésére, valamint auditálási és számlázási naplókat a felügyelet, az ellenőrzés és a számlázás leegyszersítéséhez.

A „RADIUS hitelesítési termék választása” c. rész arról szól, milyen értékeket nyújt a BMAS egy Novell- hálózat számára, szemben a vetélytárs, ám nem integrált termékekkel.

A „Rendszerkövetelmények” c. rész a BMAS előnyeinek kihasználásához szükséges hardver- és szoftver-komponenseket sorolja fel.

A TÁVOLI HOZZÁF&Eeacute;R&Eeacute;S BIZTONSÁGÁNAK KIHÍVÁSAI

Nem is olyan régen még a „számítógéphálózat” kifejezés szinte mindig helyi hálózatot, avagy LAN-t jelentett. E felállásban az asztali PC-k és a hálózati szerverek szó szerint össze voltak drótozva – általában egyetlen épületen belül –, függetlenül a telefonrendszertől és egyéb kommunikációs technológiáktól, amelyek mellettük léteztek. Ez a fizikai kiépítés a mai napig az alapvető szerkezete az információ és a hálózati erőforrások megosztásának a legtöbb hálózaton.

Az elmúlt években új technológiák jelentek meg, amelyek a már meglévő telefonhálózatot használják ki ahhoz, hogy a számítógépek a világon gyakorlatilag bárhonnan kommunikálni tudjanak egymással. Még újabb technológiák, mint például az ISDN vagy a DSL jöttek létre, amelyek megnövelik a távoli kapcsolatok sebességét és sávszélességét, és ezáltal a távoli adatok és alkalmazások akárcsak néhány évvel korábban is elképzelhetetlen új használati módjai előtt nyitották meg az utat.

Ám ahogy a cégek elkezdték ezen modern kapcsolati technológiákat alkalmazni, korábban ismeretlen biztonsági problémákkal is szembe kellett nézniük. A hálózati biztonság valaha csupán annyit jelentett, hogy jelszavakat kellett használni a LAN-hoz való hozzáféréshez és be kellett zárni az irodák ajtajait a helyi PC-k biztosítása érdekében. Ma, amikor a hálózati szerverek a világon szinte bárhonnan folyamatos hozzáférést képesek biztosítani, a láthatatlan behatoló az, aki a legnagyobb fenyegetést jelenti.

Ma már senki nem használ álkulcsokat. Az intranetek és az Internet az ügyes üzleti bnözőket sokkal kifinomultabb eszközök használatára késztették a jogosulatlan hozzáférés érdekében. Az Internet lényegében a világméret telefonhálózatot egy óriási számítógépes hálózattá alakítja. Amikor a felhasználó behív egy bizonyos üzleti szerverre, semmilyen módon nem mondható meg egészen biztosan, hogy honnan érkezett a hívás, illetve milyen vonalakon fog keresztül menni. A jogosult felhasználók azonosítására szolgáló valamilyen fajta biztonsági rendszer nélkül a helyi hálózaton található adatok veszélybe kerülhetnek.

A távoli behívásos hozzáférés biztosítása nagymértékben megnövelheti egy üzleti hálózat kihasználtságát. Ugyanakkor extra, a hálózati rendszergazda közvetlen látókörén kívül eső biztonsági problémákat jelenthet, megnövelheti a felügyeleti költségeket, és extra befektetésre lehet szükség vagy a távoli kapcsolat infrastruktúrája terén, vagy függés alakulhat ki külső szolgáltatóktól. A biztonság, az egyszer felügyelet, a költségek minimalizálása és a proxy-szolgáltatások biztonságos kihasználása érdekében egy modern, élvonalbeli távoli hitelesítésnek az alábbi követelményeknek kell eleget tennie:

Ha egyes felhasználók egy Internet-szolgáltatón (ISP-n) vagy valamely más, harmadik személyen keresztül jelentkeznek be, a felhasználók felügyeletének egy része a szolgáltatóra és alkalmazottaira kell, hogy háruljon – akiknek viszont más ügyfelei is lehetnek, és nem feltétlenül olyan szolgálatkészek, mint ahogy azt szeretnénk. A szabályozás kézbentartása érdekében valamilyen egyszer módszerre van szükség, amellyel az ISP biztonsági szervere a saját szerver proxy-jaként mködve, automatikusan továbbítja a hitelesítési kéréseket a rendszerhez.
A behívásos hozzáférés megfelelő attribútumait automatikusan kell, hogy kialakuljanak minden egyes távoli kapcsolat esetében – a használt behívásos hozzáférési szolgáltatás, a hálózati hozzáférési szerver, valamint a kért szolgáltatás függvényében.
Ha egynél több hálózati hozzáférési szervert használunk, minden egyes szervernek képesnek kell lennie arra, hogy hitelesítse a felhasználókat egy egységes, központi, egyetlen helyről felügyelhető, a felhasználók adatait tartalmazó adatbázis alapján.
A távolról behívó felhasználóknak képesnek kell lenniük az ISP-hez való kapcsolódásra illetve a hálózati szerverre történő bejelentkezésre egyetlen felhasználói név és jelszó kombinációjával.
A biztonsági rendszernek többféle hitelesítési mechanizmussal – többek között a Point-to-Point Protocollal (PPP-vel), a Password Authentication Protocollal (PAP-vel), a Challenge Handshake Authentication Protocollal (CHAP-vel) és másokkal – is együtt kell tudnia mködni.
A jogosult felhasználók egyetlen bejelentkezéssel hozzá kell, hogy tudjanak férni a hálózat különféle operációs rendszereihez, például NetWare®-hez, UNIX*-hoz és Windows* NT*-hez.
A távoli felhasználók egyetlen, átfogó címtáron keresztül képesek kell, hogy használni tudják a vállalati hálózat összes számukra engedélyezett szerverét és szolgáltatását.
Mind a helyi, mind a távoli felhasználók számára egyetlen központi módszer kell, hogy létezzen a távoli felhasználói tranzakciók auditálására, a kapcsolati problémák hibáinak keresésére, a jogosulatlan hozzáférés felfedésére, illetve a távoli kapcsolatok alapján történő számlázásra.
Kell, hogy legyen valamilyen egyszer módszer arra, hogy további funkcionalitással legyen bővíthető a biztonsági rendszer az új gyártók és új technológiák integrálása érdekében.
A biztonsági rendszernek költséghatékonynak kell lennie, végső soron csökkentenie kell a hálózat összköltségeit, nem pedig növelnie.

A Novell mindezen igények kielégítésére a BorderManager Authentication Service-t kínálja. Ez a hatékony biztonságfelügyeleti eszköz egyesíti a RADIUS protokollt és az NDS-t. A kettő kombinációja a hálózati rendszergazda számára egy egyszer, ismerős módszert kínál az összes felhasználói azonosító egyetlen pontból történő felügyeletéhez, és a távoli felhasználókat engedi hozzáférni egy egyetlen jelszóval elérhető, átfogó címtárstruktúrához.

A következő két részben a RADIUS protokoll és az NDS előnyeit tekintjük át. A BorderManager Authentication Service e hatékony technológiákat aknázza ki annak érdekében, hogy a legjobb távoli hozzáférési biztonsági rendszert biztosítsa a Novell-hálózatok számára.

A RADIUS PROTOKOLL

A BorderManager Authentication Service a RADIUS protokollt használja a hálózathoz való biztonságos behívásos kapcsolódás biztosításához – legyen szó akár egy ISP-n keresztül kapcsolt hívásról vagy pedig a cég saját tulajdonában lévő távoli hozzáférési szerverről.

A „RADIUS” a Remote Authentication Dial-In User Service (távoli hitelesítés behívásos felhasználói szolgáltatásokhoz) rövidítése. A Livingston Enterprises és az Internet Engineering Task Force (IETF) együttmködésével kialakított RADIUS a távoli felhasználók hitelesítésének és a hálózatok a jogosulatlan távoli hozzáférések elleni védelmének ipari szabvány protokolljává vált. E protokoll elfogadásával a Novell biztosította azt, hogy a BorderManager Authentication Service a lehető legmagasabb szint biztonsági szabványoknak megfeleljen, ugyanakkor megtartsa az együttmködés lehetőségét külső gyártók kommunikációs termékei és a szolgáltatók legszélesebb választékával.

Elosztott biztonság?

A helyi munkaállomások biztosításának hagyományos módja az, hogy a felhasználóktól megköveteljük egy felhasználónév és egy jelszó megadását. Ha a felhasználónév és egy jelszó megfelel egy, a hálózat biztonsági adatbázisában lévő bejegyzésnek, a bejelentkezés sikeres, és a rendszer hozzáférést biztosít az adott felhasználó számára engedélyezett fájlokhoz és szolgáltatásokhoz. Mivel a LAN egy zárt rendszer, a hálózati rendszergazda egyszeren biztosíthatja és felügyelheti a felhasználói azonosítók adatbázisát.

Ha távoli kapcsolatokkal bővül a hálózat, akkor viszont a hagyományos bejelentkezési módszer biztonsági szempontból sérülékennyé válik. A nyilvános telefonvonalak és a külső gyártók hozzáférési eszközei a jogosulatlan hozzáférés potenciális pontjaivá válhatnak. A RADIUS protokoll megnöveli a távoli hozzáférések biztonságát azáltal, hogy felügyeli a hálózati hozzáférési szerver (például egy ISP Internet-szervere) és egy, az elsődleges hálózaton lévő RADIUS hitelesítési szerver közötti tranzakciókat.

Ez a „kliens/szerver”, vagy „elosztott” architektúra az összes biztonsági technológiát különválasztja magától a kommunikációs technológiától. Minden, a felhasználók hitelesítésével és a hálózathoz való hozzáféréssel kapcsolatos információ biztonságban, a cég saját LAN-ján tárolódik. Minden egyes alkalommal, amikor a távoli felhasználó megkísérel hozzáférni a hálózathoz, a távoli hozzáférési szerver a RADIUS-szerver kliensévé válik. Ez a kliens-szerver megközelítési mód biztosítja azt, hogy a hálózati rendszergazda továbbra is központilag felügyelheti a felhasználók hitelesítési adatait, ugyanakkor minden behívásos kliens eleget kell, hogy tegyen a RADIUS-szerver diktálta előírásoknak ahhoz, hogy „engedélyt” kapjon a hálózathoz való csatlakozásra.

Hogyan mködik?

A RADIUS hitelesíti a távoli felhasználókat és megfelelően konfigurált kapcsolatot biztosít számukra az elsődleges hálózathoz. A RADIUS protokoll használatával minden egyes távoli bejelentkezési kísérlet egy sor automatikus lépést indít el, amelyek hitelesítik (vagy elutasítják) a távoli felhasználót a háttérben:

1. Egy modemen keresztül a felhasználó összekapcsolódik egy RADIUS-kompatíbilis hálózati hozzáférési szerverhez csatolt modemmel. Ez a szerver lehet a célhálózatot birtokló cég tulajdonában, de lehet egy ISP-é vagy valamilyen harmadik személyé. A modemkapcsolat létrejötte után a hálózati hozzáférési szerver bekéri a felhasználó nevét és jelszavát.

2 A hálózati hozzáférési szerver egy speciális adatcsomagot, ún. hitelesítési kérést készít a fenti adatokból. Ez a csomag a hitelesítési kérést küldő hálózati hozzáférési szervert és a modemkapcsolathoz használt portot azonosító adatokat, valamint a felhasználói nevet és jelszót tartalmazza. A vonal lehallgatása elleni védekezésképpen a jelszó titkosításra kerül, mielőtt az elsődleges hálózati RADIUS hitelesítési szerveréhez továbbítódik.

3. A hitelesítési kérést is titkosítja a rendszer, a RADIUS “titkos kulcsával” – egy olyan biztonsági kulccsal, amelyet kizárólag a hálózati hozzáférési szerver és a RADIUS hitelesítési szerver ismer.

4. A titkosított kérés továbbítódik a RADIUS hitelesítési szerverhez a helyi vagy nagytávolságú hálózaton, illetve az Interneten keresztül. Amennyiben a hitelesítési szerver nem elérhető, a kérés automatikusan egy másik szerverhez továbbítódik (amennyiben ilyet beállítottak).

5. A RADIUS titkos kulccsal a hitelesítési szerver dekódolja az adatcsomagot, hogy hozzáférjen a felhasználói névhez és jelszóhoz. Ez az információ továbbkerül az elsődleges hálózati saját biztonsági rendszeréhez. A BorderManager Authentication Service esetében a felhasználói nevet és jelszót az NDS adatbázisban tárolt adatok alapján az NDS hitelesíti.

6. Ha a felhasználói név és jelszó rendben van, akkor a RADIUS szerver hitelesítési nyugtát küld, amely tartalmazza az adott felhasználó konfigurációs és hozzáférésvezérlési adatait. Például a RADIUS szerver közölheti a hálózati hozzáférési szerverrel, hogy PPP-kapcsolatot biztosítson. A nyugta akár szrési információt is tartalmazhat, amely korlátozza a felhasználó hozzáférését a hálózat bizonyos erőforrásaihoz.

7. Amennyiben a bejelentkezési folyamat során bárhol valamilyen megkövetelt feltétel nem teljesül, a RADIUS szerver a hitelesítést visszautasító értesítést küld a hálózati hozzáférési szerverhez, amely ezek után megtagadja a felhasználó hozzáférését a hálózathoz.

8. Annak biztosítása érdekében, hogy a jogosulatlan felhasználók kérései ne válaszolódjanak meg a hálózaton, a RADIUS szerver egy hitelesítési kulcsot, más néven aláírást küld, amellyel azonosítja magát a hálózati hozzáférési szerver számára. Ha a hitelesítés kulcs, a konfigurációs adatok és a szolgáltatási igények mind megérkeztek, a hálózati kapcsolat létrejön. A távoli felhasználó dolgozhat a számára engedélyezett fájlokkal és hálózati szolgáltatásokkal, anélkül, hogy törődnie kellene a háttérben lezajlott biztonsági mveletekkel és kommunikáció-konfigurációs lépésekkel.

Kompatibilitás

A RADIUS hitelesítés együttmködik a protokollt kezelő minden hozzáférési útválasztóval, hozzáférési szerverrel és más kommunikációs eszközzel. Az IETF jelenleg azon dolgozik, hogy a RADIUS-t hivatalos Internet-szabványként fogadtassa el. (RFC 2138/2139). A szabványt a legtöbb nagy gyártó már elfogadta, többek között pédául a 3Com*, az Ascend, a Bay Networks, a Cisco Systems*, a Livingston, a Lucent, a Novell, a Raptor, a Shiva és még sokan mások.

A CÍMTÁRALAPÚ HÁLÓZATOK &Eeacute;S AZ NDS

nmagában a RADIUS csupán a távoli felhasználó azonosítására, a megfelelő kommunikációs konfiguráció kialakítására és az engedélyezett hálózati szolgáltatásokhoz való hozzáférés biztosítására alkalmas. Nem képes ugyanakkor egyszerbben felügyelhetővé tenni a hálózatot. Ez az a pont, ahol az NDS jut szerephez.

Minden, az NDS-t használó cég tisztában van azzal, mennyire leegyszersíti a hálózat használatát és felügyeletét. A BorderManager Authentication Service kiterjeszti az NDS nyújtotta előnyöket a távoli felhasználókra és a távoli felhasználók felügyeletére egyaránt.Azon olvasók számára, akik nem ismerik közelebbről a címtárszolgáltatások, és különösen az NDS előnyeit, az alábbiakban röviden összefoglaljuk a technológiát és a használata mellett szóló érveket.

A Novell-címtárszolgáltatás (NDS) nyújtotta előnyök

Előny	Magyarázat
Lehetővé teszi az egypontos hálózati hozzáférést	A felhasználóknak csak egyszer kell a hálózatra bejelentkezniük, és utána azonnal hozzáférhetnek minden, a számukra kijelölt alkalmazáshoz, fájlhoz, nyomtatóhoz, szolgáltatáshoz és egyéb hálózati erőforráshoz. Az NDS a háttérben zajló hitelesítéseken keresztül automatikusan intézi a felhasználó hozzáférését az egyes erőforrásokhoz.
Egyetlen pontból való felügyeletet biztosít a felügyelet egyszersítése érdekében	Az NDS időt és pénzt takarít meg azáltal, hogy egyetlen pontból való felügyeletet biztosít a vállalat teljes egészére. Címtáralapú hálózat nélkül a hálózati rendszergazdák gyakran kénytelenek megismételni ugyanazon mveleteket minden egyes szerver minden egyes felhasználójára. A GartnerGroup egy tanulmánya kimutatta, hogy egy hálózat összköltségeinek 79 százaléka annak felügyeletéből származik.
Javítja a felügyelhetőséget az örökölhető jogokkal	Az NDS-ben a rendszergazda egyszeren és gyorsan definiálhat jogokat a címtárfa tetszés szerinti ágára. Minden, ebbe az ágba tartozó objektum automatikusan megörökli ezeket a jogokat. Ez időt és munkát takarít meg a hálózatfelügyelet során – csupán a kivételekkel kell külön-külön foglalkozni.
Biztonságban őrzi a hálózati adatokat	A szabályalapú biztonság és az örökölt jogok nagymértékben csökkentik a felügyeleti költségeket és megelőzik a legnagyobb kiadást: az információ a vetélytársak kezébe kerülését.
Hibatrést és hozzáférés-vezérlést biztosít	Egyszeren készíthető hibatrő rendszer az NDS adatbázis particionálásával és a hálózaton keresztül replikálásával. Azáltal, hogy az adatokat azon felhasználókhoz közel tesszük, akiknek leginkább szükségük van rá, egyben a hálózati teljesítményt is optimalizáljuk.
Lehetővé teszi a hálózat az egyedi igényeknek megfelelő alakítását	A címtárfa szerkezetét az ún. címtárséma szabályozza – egy olyan szabályrendszer, amely a címtárfa felépítését írja le. A séma határozza meg, hogy milyen objektumokból állhat a hálózat, mely tulajdonságaikat örökölhetik, és milyen helyet foglalhatnak el a címtárfában. Az NDS sémája szabadon bővíthető új típusú objektumokkal, attribútumokkal és tulajdonságokkal, valamint az ezek kölcsönhatását leíró szabályokkal.
Korlátlanul méretezhető	Az NDS bármekkora hálózat kezeléséhez konfigurálható. Legyen szó akár hirtelen, extrém növekedésről például egy felvásárlás vagy cégösszeolvadás miatt, az NDS problémamentesen lekezeli a növekedést. Az új erőforrások felvétele csupán néhány egérkattintásból áll.

Mi a címtárszolgáltatás?

A címtárszolgáltatás a felhasználók, alkalmazások, hálózati eszközök és más, a hálózatokon jellemzően található erőforrásokat jelképező objektumok adatbázisa. Minden egyes objektum az adott felhasználóra vagy erőforrásra jellemző specifikus adatokat tartalmaz. Az objektumok hierarchikusan rendeződnek el a címtárfában, amely az üzlet felépítésének megfelelően szervezhető. A Windows Explorert ismerő olvasók már találkozhattak hierarchikus könyvtárrendszerrel, amely a merevlemezeken lévő fájlokat szervezi rendbe. A címtárszolgáltatás ezt a hierarchikus struktúrát az egyedi felhasználó igényeinél magasabb szintre emeli, a hálózat összes objektumát reprezentálva.Ezenfelül a címtárszolgáltatás felügyeli a hálózati objektumok kapcsolatát is. Minden egyes felhasználó és erőforrás valamilyen kapcsolatban áll a hálózat más felhasználóival és erőforrásaival. A címtár szabályozza az emberek és gépek, illetve maguk a gépek kapcsolatát. A címtár a kapcsolatokat hitelesítésen és jogosultságokon keresztül szabályozza.

A címtárszolgáltatás hitelesíti a hálózati felhasználót és az általa használni kívánt hálózati elemeket. A hitelesítési folyamat során a felhasználók és erőforrások automatikusan azonosítják magukat, biztosítva, hogy mind a ketten érvényesek, és megakadályozzák, hogy bárki adatokat tulajdoníthasson el.Végezetül, a címtárszolgáltatás feljogosítja a felhasználókat a hálózat különböző részeinek használatára. Miután a felhasználó hitelesítődött, a hálózat jogokat biztosít a hálózati erőforrások használatához vagy felügyeletéhez – az adott felhasználó igényeinek és feladatainak megfelelően. A jogok kioszthatók globálisan, szervezetileg vagy munkacsoportonként. Az ezen kijelölések alóli kivételek az egyes felhasználók szintjén szabályozhatók.Az NDS az egyetlen címtárszolgáltatás, amely lefedi egy hálózat minden aspektusát, kiterjed az összes hardver- és szoftverelemre, lehetővé teszi az egypontos bejelentkezést, és megfelelő alapot biztosít a fejlesztők számára, amelyre építhetnek. Az előző lapon lévő táblázat áttekinti az NDS legfontosabb előnyeit.

2. ábra - A BorderManager Authentication Service integrálja a RADIUS protokollt az NDS-sel.

SSZEÁLL AZ EG&Eeacute;SZ A BORDERMANAGER AUTHENTICATION SERVICE-SZEL

A Novell BorderManager Authentication Service RADIUS felhasználói hitelesítéssel bővíti az NDS-t, nagymértékben megnövelve ezáltal a távoli hozzáférés biztonságát. Ezzel egyidőben az NDS előnyeit biztosítja a távoli felhasználók számára is, lehetővé téve számukra, hogy egy átfogó címtáron keresztül több szerverhez, fájlhoz és különféle hálózati erőforrásokhoz férjenek hozzá – pontosan úgy, mintha helyben dolgoznának. Továbbá, egypontos felügyeletet kínál a hálózati rendszergazda számára, mind a helyi, mind a távoli felhasználók felügyeletéhez, a már jól ismert NetWare Administratoron keresztül, csupán egyetlen adatbázist használva.A BorderManager Authentication Service egy szerveralapú felület az NDS és a RADIUS-kompatíbilis hálózati hozzáférési szerverek között. Az NDS-adatbázis tárolja a távoli felhasználók hitelesítési és behívási konfigurációs adatait, a BorderManager Authentication Service pedig a RADIUS protokollon keresztül ellátja a hálózati hozzáférési szervert az összes olyan információval, amelyre annak szüksége van ahhoz, hogy engedélyezze vagy megtagadja a hálózati szolgáltatásokra irányuló felhasználói kéréseket. A BorderManager Authentication Service-t használva az az NDS egyetlen adatbázisként kiszolgálja a távoli hozzáférési szervereket és a teljes hálózatot egyaránt. Emellett az NDS válik az összes felhasználó közös címtárszolgáltatásává.

3. ábra - Egy behívó felhasználó proxy-hitelesítése

A hálózattal teljes mértékben integrált, a távoli hozzáférési gyártók és termékek széles skálájával teljesen kompatíbilis BMAS technológia a szervezet gyakorlatilag minden szintjéhez értéket ad:

A hálózati rendszergazda központilag szabályozhatja a hozzáférési jogosultságokat, a behívásos hozzáférés jellemzőit, a számlázást, valamint az auditálást az összes felhasználóval kapcsolatban, legyenek azok akár helyben, akár távoliak.
A hálózati felhasználók egyetlen címtárstruktúrán keresztül, egyetlen felhasználói azonosítóval és egyetlen jelszóval férhetnek hozzá az összes számukra kirendelt fájlhoz és szolgáltatáshoz.
Az informatikai vezetők csökkenthetik a hálózat összköltségeit a felügyelet leegyszersítésével és a távoli hozzáférés szolgáltatások kihelyezésével.
A teljes vállalatra nézve javul a hálózati biztonság és felügyelet a kifinomult hitelesítési, auditálási és számlázási funkciókon keresztül.

Mindezen kvantifikálható előnyökön kívül a BMAS kínál még egy, nagyon fontos dolgot: nyugalmat. Ismervén az összeget, amelyet manapság a cégek az informatikai infrastruktúrájukba fektetnek, rendkívül fontos ellenőrizni, hogy a hálózati felhasználók érvényesek-e – még akkor is, ha a világ túlsó feléről telefonálnak.

A BorderManager Authentication Service (BMAS) nyújtotta előnyök

Előny Magyarázat

A RADIUS protokollt használja a biztonságos távoli hitelesítéshez A BorderManager Authentication Service RADIUS protokollt használja arra, hogy hitelesítse a felhasználókat, amikor azok a hálózati szervereket távolról, vagy egy hálózati határon keresztül kívánják elérni. Az IETF a RADIUS-t hivatalos Internet-szabvánnyá emelte. A BMAS teljeskör kompatibilitást biztosít külső gyártók kommunikációs eszközeinek széles választékával, és lehetővé teszi, hogy a cégek a hálózati hozzáférés szolgáltatásokat Internet-szolgáltatóknak adják ki, ugyanakkor megőrizzék a felhasználói azonosítók teljeskör szabályozását.

Tokenes hitelesítésre is képes az extra biztonság érdekében (még csak béta-változatban elérhető) A tokenes hitelesítés során a felhasználónak kétféle típusú adatot kell megadnia – személyes adatokat és tokenadatokat. A személyes adat valami olyan információ, amelyet (csak) a felhasználó ismer, például egy PIN-kód. A tokenadat a felhasználónál lévő tokenes hitelesítőeszközből, például egy intelligens kártyából származik. A tokenes hitelesítőeszköz folyamatosan változtatja a tokent a maximális védelem érdekében. Ez a funkció a BMAS-t alapvetően az ActiveCard tokenes hitelesítőeszközzel integrálja, de kezeli a Secure ID tokenes hitelesítőeszközét is.

A BorderManager Authentication Service egyetlen adatbázisba fogja össze az összes felhasználói azonosítót a felügyelet egyszersítése érdekében. A BorderManager Authentication Service leegyszersíti a hálózati biztonság felügyeletét. A NetWare Administrator bedolgozómoduljával lehetségessé válik az összes helyi és távoli felhasználó felügyelete egyetlen NDS-adatbázissal, egyetlen munkaállomásról. A felhasználók a helytől függően a címtárfa megadott helyeihez rendelhetők, legyenek akár helyben, akár távol. Különböző szintek alakíthatók ki a felhasználó hozzáférése és hitelesítési jogosultságaik szempontjából, akár globálisan, akár a szervezetek, akár a munkacsoportok szintjén – ismét csak az egyes felhasználók fizikai helyétől vagy a kapcsolódás módjától teljesen függetlenül. Mind a személyi, mind a tokenes hitelesítési és azonosítási adatok az NDS-ben tárolódnak, így a rendszergazda ugyanazon adatbázissal felügyelheti őket.

Szabályozható az egyidej behívásos kapcsolatok száma a megnövelt biztonság érdekében (még csak béta-változatban elérhető) A rendszergazda a NetWare Administratoron keresztül korlátozhatja az egy felhasználó által egyidejleg használható behívásos hálózati kapcsolatok számát. Ez a funkció különösen az ISP-k számára lehet előnyös, ugyanis megakadályozza, hogy egyidejleg több felhasználók használja ugyanazt az Internet-hitelesítést.

Redundanciát tartalmaz a hibatrő mködés érdekében Hibatrő biztonsági rendszer hozható létre két vagy több RADIUS-szerver egyazon NDS felhasználói adatbázishoz való konfigurálásával. Mivel osztoznak ugyanazon a konfiguráción, a megkettőzött szerverek egyszeren fenntarthatók, költséges másolgatások vagy egyéb munkák nélkül. Ha elromlik az elsődleges szerver vagy megsznik a hálózati kapcsolat, a felhasználók hitelesítési szolgáltatásai automatikusan átkerülnek a tartalék szerverre.

Egyetlen jelszóval férhetnek a felhasználók hálózathoz A hálózat minden felhasználójának – még az ISP-ken keresztül bejelentkező távoli felhasználóknak is – csak egyetlen felhasználói azonosítót és jelszót kell beírnia a hálózathoz és az összes alkalmazáshoz, fájlhoz, nyomtatóhoz, szolgáltatáshoz és egyéb hálózati erőforrásokhoz való hozzáféréshez. (Megoldható az is, hogy a BMAS külön jelszót követeljen a hálózathoz való csatlakozáshoz és külön jelszót az NDS-re bejelentkezéshez.)

Automatikusan kezeli a hálózati protokollokat a kapcsolatok leegyszersítése érdekében A távoli felhasználók hitelesítése után a RADIUS szerver automatikusan visszaküldi a hálózati hozzáférési szerverhez a felhasználó hálózati protokolligényeit és hozzáférési jogosultságokat meghatározó adatokat. Például a RADIUS szerver képes automatikusan utasítani a hálózati hozzáférési szervert egy PPP-kapcsolat felvételére. Ahelyett, hogy a kommunikációs protokollokkal kellene kínlódniuk, a felhasználók saját munkájukra koncentrálhatnak.

A bőséges proxy-szolgáltatások leegyszersítik a felügyeletet és megnövelik a rendelkezésre állást (még csak béta-változatban elérhető) A proxy-szolgáltatások: Részleges tartománykezelés, amely leegyszersíti a felügyeletet az olyan ISP-k számára, akik csak főtartományokkal foglalkoznak. Például a nev@novell.com, a nev@sjf.novell.com és a nev@prv.novell.com egyaránt a novell.com főtartományhoz továbbítódnak. A proxy-számlázással a BMAS-szerver képes továbbítani a számlázási rekordokat más RADIUS-szerverekhez. A másodlagos proxyszerver kezelésével a BMAS-szerver képes átirányítani a számlázási és hitelesítési kéréseket egy másodlagos RADIUS-szerverhez, ha az elsődleges szerver képtelen kiszolgálni a kért folyamatot. Ez a funkció megnöveli a rendelkezésre állást.

Többféle platformot is kezel, hogy kihasználja a meglévő hálózati infrastruktúra befektetéseit A BorderManager Authentication Service NetWare vagy Windows NT szerverekre telepíthető, hogy hozzáférést biztosítson a hálózat tetszés szerinti, akár összes szerveréhez. Együttmködik a RADIUS protokollt kezelő összes távoli hozzáférési szerverrel, proxyszerverrel és külső gyártók által készített kommunikációs termékkel – többek között a 3Com, az Ascend, a Bay Networks, a Cisco Systems, a Livingston, a Lucent, a Raptor, a Shiva és még sok más cég termékeivel. A BorderManager Authentication Service egyetlen, átfogó megoldást kínál az átlagos cégek összes hálózati biztonsági igényére.

Megtartja a helyi ellenőrzést a maximális biztonság érdekében A BorderManager Authentication Service megtartja a felhasználók biztonsági felügyeletének helyi ellenőrzését – csatlakozzon a felhasználó akár közvetlenül, behívással, vagy akár tartományokon keresztül, egy RADIUS proxyszerver segítségével. Nem számít, hogy kinek a tulajdonában van a csatlakozás és a hardver, vagy hogy fizikailag hol találhatók. Egyedül a hálózati rendszergazda az, aki meghatározza, ki mihez férhet hozzá.

Pénzt takarít meg az erőforrás-kihelyezéssel Azáltal, hogy teljeskör ellenőrzést képes biztosítani a távoli felhasználókat illetően is, a BorderManager Authentication Service lehetővé teszi, hogy egy cég kihelyezze máshová a modemek, a hálózati hozzáférési szerverek és más költséges infrastrukturális eszközök drága, időigényes felügyeletét egy Internet-szolgáltatóhoz anélkül, hogy veszélyeztetné a biztonságot.

Auditálási naplót tartalmaz a potenciális problémák megelőzéséhez Minden kapcsolati kísérlet tranzakciói rögzítésre kerülnek az auditálási naplóban. Ez segíti a rendszergazdákat a problémák azonosításában, illetve a jogosulatlan felhasználók lenyomozásában.

Számlázási adatokat biztosít a hálózatfigyelés javításához A számlázási napló beállítható, hogy figyelje a hálózat használatát, és ezek az adatok áttehetők Microsoft* Excel*-be és hasonló alkalmazásokba, kimutatáskészítés és számlázás céljából. A hálózati rendszergazda azonnal ki tudja mutatni, ki használja vagy ki él vissza a hálózattal, és még mielőtt a kialakuló problémák komoly gondot jelenthetnének, megoldhatja őket.

Csökkenti a hálózat összköltségét Egy hálózat összköltsége drasztikusan csökkenthető a hálózatfelügyelet leegyszersítésével és a távoli kapcsolódási hardver más céghez kihelyezésével. A legtöbb cég, elvégezve a szükséges számításokat, hamar rájön, hogy a BorderManager Authentication Service-be fektetett értékeket sokszorosan kapja vissza.

Megfelel a jelenlegi és jövőbeni biztonsági igényeknek A BorderManager Authentication Service architektúra megbirkózik a növekedéssel és a változásokkal egyaránt – tökéletesen méretezhető és egyszeren módosítható. Csakúgy, mint az NDS esetében, gyakorlatilag nincsen határa annak, hogy hány felhasználók kezel. Együttmködik minden RADIUS-kompatíbilis eszközzel, amely a rendszerbe kerül – legyen az magáé a cégé, vagy egy külső szolgáltatóé. Az új termékek és technológiák beépítéséhez csupán egyetlen attribútum-leíró fájlt (Attribute Dictionary File) kell letölteni a Webről. A BorderManager Authentication Service egyszeren alakítható a már meglévő konfigurációhoz, valamint a jövőben esetleg felvételre kerülő új felhasználókhoz és eszközökhöz.

Semmilyen további szoftverre nincsen szükség a távoli kliensekhez – még egyszerbb használat A legtöbb jelenlegi hívó- és terminálemulátor program – közöttük a Windows 95* és a Windows NT hívóprogramjai – használható az NDS-hez való hozzáférésre. A legtöbb esetben a BorderManager Authentication Service a felhasználó oldalán való telepítésének ideje és költsége gyakorlatilag zérus.

Egyszeren telepíthető, átlátszó módon mködik A BorderManager Authentication Service egy egyszer, szoftveres megoldás, amelyik együttmködik a szabványos, polcról leemelhető hardvereszközökkel. Egyszeren telepíthető akár betölthető NetWare-modulként, akár Windows NT szolgáltatásként, felügyeletére pedig a NetWare Administratorhoz való bedolgozómodul szolgál. Telepítés és konfigurálás után mindössze egyetlen érvényes jelszóra van szükség ahhoz, hogy a világon szinte bárhonnan hitelesített kapcsolaton keresztül csatlakozhassunk a hálózatra. Az egyetlen változás, amit a távoli felhasználók észlelnek, hogy a bejelentkezés és a hálózat használata hirtelen leegyszersödött.

Az iparágvezető Novelltől származó megoldás A BorderManager Authentication Service integrálja a RADIUS nyújtotta biztonságot az NDS-sel, ezáltal lehetővé teszi, hogy a biztonsággal kapcsolatos kérdések is a teljes hálózat egészével egyformán legyen felügyelhető – a Novell iparágvezető megoldásain keresztül. Ami legalább ilyen fontos, hogy a BMAS mögött a Novell páratlan szerviz- és tanácsadási szolgáltatásai állnak. A BorderManager Authentication Service kiváló példa arra a megbízhatóságra, integrációra és minőségre, amelyet a Novell-vásárlók a világ hálózatos iparágának vezetőjétől elvárhatnak.

A felhasználó hitelesítése proxyn keresztül

Konfigurálható úgy is a BorderManager Authentication Service, hogy a hitelesítési kéréseket egy másik RADIUS-szervertől (a RADIUS-proxytól) fogadja, illetve hogy maga RADIUS-proxyként viselkedjen és a hitelesítési kéréseket egy másik RADIUS-szerverhez küldje, vagy akár mindkettőre. Azon felhasználókat, akik tartomány nélkül jelentkeznek be, vagy egy olyan tartománnya, amelyik a helyi NDS-címtárfa használatára lett konfigurálva, a helyi hálózat RADIUS-szervere hitelesíti.

Azon felhasználók RADIUS kommunikációs adatai, akik egy másik tartomány nevével jelentkeznek be, automatikusan továbbítódnak az ő tartományuk RADIUS-szerveréhez. Bejelentkezéskor a felhasználók meghatározhatják a céltartományt: a felhasználói azonosító és egy @ karakter után kell megadniuk a tartomány nevét (hasonlóan egy internetes e-mail címhez).A proxy-szerverek használatával megoldható, hogy a felhasználókat a megfelelő RADIUS-szerverek hitelesítsék, akkor is, ha az eredeti hitelesítési kérést egy másik tartomány szervere fogadta. Például megoldható, hogy egy ISP-n, az Interneten keresztül a hálózatra behívó felhasználó a saját hálózati RADIUS-szervere hitelesítse.

TOKENES HITELESÍT&Eeacute;S KEZEL&Eeacute;SE (még csak béta-változatban elérhető)

A tokenes hitelesítés kéttényezős hitelesítést használ a távoli hozzáféréshez. A hitelesítéshez a felhasználónak kétféle típusú adatot kell megadnia – személyes adatokat és tokenadatokat. A személyes adat valami olyan információ, amelyet (csak) a felhasználó ismer, például egy PIN-kód. A tokenadat a felhasználónál lévő tokenes hitelesítőeszközből, például egy intelligens kártyából származik. A tokenes hitelesítőeszköz folyamatosan változtatja a tokent a maximális védelem érdekében. Mind a személyi, mind a tokenes hitelesítési és azonosítási adatok az NDS-ben tárolódnak, így a rendszergazda ugyanazon adatbázissal felügyelheti őket. Ez a funkció a BMAS-t alapvetően az ActiveCard tokenes hitelesítőeszközzel integrálja, de kezeli a Secure ID tokenes hitelesítőeszközét is. A BMAS-szerver képes proxyként mködve továbbítani a tokenes hitelesítési kéréseket más RADIUS-szerverekhez.

Auditálási napló

A rendszerfelügyelet és a hibakeresés kiszolgálásához a BMAS tartalmaz egy RADIUS auditálási naplót. Az auditálási napló eltárol minden olyan rendszerüzenetet (sikereset és sikertelenet egyaránt), amelyek megjelennek a RADIUS állapotkonzolján – akkor is, ha a konzol nincsen ténylegesen nyitva. Annak érdekében, hogy az auditálási fájlok méretét korlátozzuk, minden nap új auditálási napló jön létre. A régi auditálási naplófájlok automatikusan törlődnek egy meghatározott számú nap után. A fájlok az évek, hónapok és napok szerint vannak elnevezve, így igen gyorsan rendezhetők és az egyes események könnyen kikereshetők belőlük. Az auditálási napló alapértelmezés szerint aktív a BMAS-ban, de igény szerint kikapcsolható.

RADIUS-számlázás

Része a BMAS-nak egy RADIUS számlázási szerver, amelyik általában egy, a hitelesítési szerveren megvalósított külön folyamat. A számlázási információ használható statisztikai elemzésekhez, hibakereséshez, illetve osztályszint számlázáshoz.A RADIUS számlázási szerver a User Data Protocol (UDP) 1813-as portján figyel. Amikor megkezdődik egy felhasználói kapcsolat, a RADIUS-kliens (pl. a hálózati hozzáférési szerver) egy, a behívó felhasználó adataival (például a biztosított szolgáltatás típusával) kapcsolatos számlázáskérési csomagot küld a RADIUS számlázási szerver felé, naplózásra. Amikor végetér a felhasználó kapcsolata, egy másik számlázáskérési csomag indul a RADIUS számlázási szerver felé, amelyik lejelenti a biztosított szolgáltatás típusát és az azzal kapcsolatos statisztikákat.A RADIUS számlázási szerver naplózza mindezen tranzakciókat egy ASCII számlázási naplófájlba, és nyugtázza a kéréseket a RADIUS-kliensek felé. A számlázási naplók az évek, hónapok és napok szerint vannak elnevezve, az adatok pedig olyan formátumban találhatók, amelyek egyszeren importálhatók táblázatkezelőkbe és más, jelentéskészítéshez és számlázáshoz használható alkalmazásokba.

RADIUS HITELESÍT&Eeacute;SI TERM&Eeacute;K VÁLASZTÁSA

Számos gyártó építette bele a RADIUS protokollt hálózati hozzáférési termékeibe, de a BorderManager Authentication Service az egyetlen, amelyben tökéletesen integrálva van az NDS-sel. Az NDS használati és felügyeleti funkcióit kihasználva a BMAS egy igen komoly előnyt kínál: csökkenti a hálózat összköltségét.

A BMAS-sal az egyes felhasználók számára rendelkezésre álló összes szerver és szolgáltatás egyetlen jelszóval, egyetlen címtáron keresztül érhető el. Az összes felhasználói azonosító egyetlen pontból, a jól ismert NetWare Administrator segédprogrammal felügyelhető, megszüntetve az extra költségeket és időt, amelyet az egyébként többszörös adatbázisok felügyelete igényelne. Minden kapcsolódó szolgáltatást és tanácsadást a Novell biztosít. Az NDS funkcióinak kihasználásával, mögötte a Novell világméret hálózatával, a BMAS olyan megbízhatóságot, egyszerséget, integrációt és szolgáltatásokat kínál, amelyet a vetélytárs termékek nem.Az alábbi táblázat összefoglalja a BMAS előnyeit legnagyobb ellenfelével, a Funk Software Steel-Belted RADIUS Serverével szemben. Ezeket az előnyöket a BMAS és az NDS közötti szoros integráció teszi lehetővé. A többi vetélytárs termék, például a Microsoft's Internet Authentication Service for Windows NT 4.0-ja, pontosan ugyanattól, az NDS-támogatás hiányától szenved, mint a Funk terméke.

A BorderManager Authentication Service és a Funk Steel-Belted RADIUS Serverének összehasonlítása

Funkció BMAS Steel-Belted RADIUS

Integrálva van az NDS-címtárral Igen. A BMAS kiterjeszti az NDS sémáját a távoli felhasználókra, megtartva ezáltal az egyszer használat és felügyelhetőség előnyeit. Nem. A Steel-Belted RADIUS for NetWare az NDS-t használja a felhasználók hitelesítéséhez, de a távoli hozzáférési konfigurációk különálló Steel-Belted RADIUS-adatbázisokban tárolódnak és felügyelődnek.

Egy adatbázis az összes felhasználóhoz Igen. Mivel a BMAS hálózatalapú, a távoli felhasználókat egyszeren csak fel kell venni a meglévő NDS felhasználói adatbázishoz. Nincsen szükség arra, hogy elosszunk, replikáljunk vagy biztosítsunk egynél több különálló adatbázist a hálózaton, minden egyes hitelesítési szerverhez. Nem. Mivel szerveralapú, a Steel-Belted RADIUS megköveteli, hogy különálló felhasználói adatbázisok legyenek a hálózaton és minden egyes hitelesítési szerveren. Az adatbázisok karbantartása és szinkronizálása folyamatos kihívást jelent.

Tökéletesen méretezhető Igen. Mivel egyetlen, elosztott hálózati címtárat használ, a BMAS egyszeren méretnövelhető, pusztán további BMAS-szerverek felvételével. Nem. A hálózatfelügyelet egyre kényelmetlenebb, ahogy újabb és újabb hitelesítési szerverek kerülnek be a hálózatba, mivel minden egyes szerver külön, független felhasználói adatbázisok karbantartását követeli meg.

Központi felügyelet Igen. Minden felhasználó egyetlen központi munkaállomásról,a NetWare Administrator segédprogrammal felügyelhető. A funkciókészletében és használatának egyszerségében páratlan NetWare Administrator tökéletesen integrálódik az NDS-sel. Nem. A hálózati rendszergazdának meg kell tanulnia a Funk egyedi eszközét a távoli hozzáférési szerverek felügyeletéhez. Ráadásul minden egyes szervert külön-külön kell felügyelni.

Hibatrő Igen. A BMAS-szerver képes automatikusan csatlakozni egy másik NDS-szerverhez, ha az elsődleges NDS-szerver leáll. Nem. Ha elveszíti a kapcsolatát az elsődleges NDS-szerverrel, akkor a Steel-Belted RADIUS visszautasításokat fog küldeni minden egyes, hitelesítéssel próbálkozó RADIUS-kliensnek. A normális mködés csak akkor áll vissza, ha az elsődleges NDS-szerver újra hozzáférhető a hálózaton.

Következetes, az egész hálózatra kiterjedő biztonság Igen. Az NDS-en keresztül a biztonsági előírások végrehajtása ugyanaz a BMAS számára, mint a hálózat bármely más entitása számára. A biztonsági felügyelet egyszerbb a felhasználók csoportjai és szervezeti egységei szintjén, ugyanis az NDS-hierarchiában az objektumok megöröklik saját konténereik jogait. A BMAS-szerverek az NDS által biztosított, integráns részei a hálózatnak, vagyis jelszó szükséges a hitelesítési szolgáltatás megindításához is. Nem. Lévén szerveralapú, kiegészítő termék, a Steel-Belted RADIUS nem képes biztosítani vagy végrehajtatni egy, az egész hálózatra kiterjedő biztonság irányelvet. A biztonságot egyenként kell felügyelni minden egyes RADIUS-szerveren, és magán a hálózaton. A következetesség csak a különböző szervereken lévő egyedi felhasználói azonosítók kézi szinkronizációjával érhető el. S végül bárki, aki fizikailag hozzáfér, elindíthatja a Steel-Belted RADIUS szolgáltatást, jelszó nélkül.

A hálózat csökkent összköltsége Igen. A BMAS kihasználja a meglévő Novell-környezetet a felügyelet központosítása és a felügyeleti költségek csökkentése érdekében. S mivel kiválóan méretezhető, az új felhasználók és BMAS-szerverek felvételének költsége minimális. Nem. Mivel a Steel-Belted RADIUS licencrendszere szerver-, és nem felhasználóalapú, a kezdeti felhasználónkénti költsége alacsonyabb lehet, ha nagyon sok felhasználó fér hozzá egy szerverhez. A valódi költségek között azonban ott van a meredekebb tanulási görbe, az extra felügyeleti problémák, és az adatok kettőzöttsége. Mindezen extra költségek tovább sokszorozódnak, ha új felhasználókat vagy szervereket kell felvenni.

RENDSZERKVETELM&Eeacute;NYEK

A BorderManager Authentication Service az alábbi erőforrásokat igényli. Javasoljuk, hogy minden hardvereszköz legyen „2000. év”-álló.

A RADIUS-SZERVER KVETELM&Eeacute;NYEI
NetWare 4.11 vagy frissebb, ill. Windows NT 4.0 vagy frissebb
1 MB szabad lemezterület
1 MB szabad memória
Betöltött és konfigurált TCP/IP-protokoll
További szerverek is használhatók, hogy hibatrési funkciókat biztosítsanak arra az esetre, ha az elsődleges szerver vagy a hálózati kapcsolat leáll.

AZ ADMINISZTRÁTORI MUNKAÁLLOMÁS KVETELM&Eeacute;NYEI
Windows 95 vagy Windows NT 4.0
NetWare Client for Windows 95 vagy Windows NT
NetWare Administrator
2 MB szabad lemezterület

A HÁLÓZATI HOZZÁF&Eeacute;R&Eeacute;SI SZERVER KVETELM&Eeacute;NYEI

RADIUS-kompatíbilis
Betöltött és konfigurált TCP/IP
IPX kezelése, amennyiben a távoli felhasználóknak hozzá kell férniük a hálózati fájl- és nyomtatási szolgáltatásokhoz

A TÁVOLI KLIENS-MUNKAÁLLOMÁS KVETELM&Eeacute;NYEI

Behívó szoftver (a legtöbb behívó szoftver használható, többek között a Windows 95-ben és Windows NT-ben találhatók)
Távoli hozzáférési szoftver, amelyik kezeli az IPX-et, amennyiben a kliensnek hozzá kell férnie a hálózati fájl- és nyomtatási szolgáltatásokhoz

A BORDERMANAGER AUTHENTICATION SERVICE R&Eeacute;SZEI

RADIUS szerver futtatóállomány (kompatíbilis a NetWare 4-gyel, NetWare 5-tel és a Windows NT-vel)
NetWare Administrator bedolgozómodul
Egységes telepítőprogram mind a felügyeleti, mind a szerverkomponensekhez

V&Eeacute;GKVETKEZTET&Eeacute;S

A BorderManager Authentication Service része a Novell BorderManager Enterprise Edition csomagnak – a címtáralapú vásárlóknak és a szolgáltatóknak szánt, a felhasználók a webtartalomhoz és szolgáltatásokhoz való hozzáférés felügyeletére szolgáló vezető terméknek.

A BMAS korábban ismeretlen szintjét hozta el a távoli hálózati hozzáférés biztonságának, felügyelhetőségének és megbízhatóságának. Ez a szabványalapú, a 2000. évre kész megoldás a RADIUS-szerveradatokat az NDS-ben tárolt felhasználói hitelesítési jogokkal és behívásos konfigurációs adatokkal egyesíti. A kettő eredménye az egyetlen pontos felügyelet, amelyik megnöveli a biztonságot és összefogja a távoli szolgáltatások felügyeletét.

Része a BMAS-nak a naplózási és számlázási lehetőség, amellyel karcsúsítható az osztályszint számlázás és a felhasználók támogatása. A rendszer méretezhetősége és rugalmas alkalmazhatósága kiszolgálja a vállalati méret behívásos hozzáférési telephelyeket, és kiválóan együttmködik az Internet-szolgáltatókkal a távoli hozzáférési szolgáltatások kihelyezése esetében. Azon Novell-vásárlók számára, akik biztonsági és felügyeleti megoldást keresnek behívó felhasználóik számára, a BMAS az ideális megoldás.

A Novell kiértékelési programja

A BorderManager Authentication Service egy ingyenes, „vásárlás előtt kipróbálható” változata legtölthető a www.novell.com/bordermanager/bmas címről.

Előny	Magyarázat
A RADIUS protokollt használja a biztonságos távoli hitelesítéshez	A BorderManager Authentication Service RADIUS protokollt használja arra, hogy hitelesítse a felhasználókat, amikor azok a hálózati szervereket távolról, vagy egy hálózati határon keresztül kívánják elérni. Az IETF a RADIUS-t hivatalos Internet-szabvánnyá emelte. A BMAS teljeskör kompatibilitást biztosít külső gyártók kommunikációs eszközeinek széles választékával, és lehetővé teszi, hogy a cégek a hálózati hozzáférés szolgáltatásokat Internet-szolgáltatóknak adják ki, ugyanakkor megőrizzék a felhasználói azonosítók teljeskör szabályozását.
Tokenes hitelesítésre is képes az extra biztonság érdekében (még csak béta-változatban elérhető)	A tokenes hitelesítés során a felhasználónak kétféle típusú adatot kell megadnia – személyes adatokat és tokenadatokat. A személyes adat valami olyan információ, amelyet (csak) a felhasználó ismer, például egy PIN-kód. A tokenadat a felhasználónál lévő tokenes hitelesítőeszközből, például egy intelligens kártyából származik. A tokenes hitelesítőeszköz folyamatosan változtatja a tokent a maximális védelem érdekében. Ez a funkció a BMAS-t alapvetően az ActiveCard tokenes hitelesítőeszközzel integrálja, de kezeli a Secure ID tokenes hitelesítőeszközét is.
A BorderManager Authentication Service egyetlen adatbázisba fogja össze az összes felhasználói azonosítót a felügyelet egyszersítése érdekében.	A BorderManager Authentication Service leegyszersíti a hálózati biztonság felügyeletét. A NetWare Administrator bedolgozómoduljával lehetségessé válik az összes helyi és távoli felhasználó felügyelete egyetlen NDS-adatbázissal, egyetlen munkaállomásról. A felhasználók a helytől függően a címtárfa megadott helyeihez rendelhetők, legyenek akár helyben, akár távol. Különböző szintek alakíthatók ki a felhasználó hozzáférése és hitelesítési jogosultságaik szempontjából, akár globálisan, akár a szervezetek, akár a munkacsoportok szintjén – ismét csak az egyes felhasználók fizikai helyétől vagy a kapcsolódás módjától teljesen függetlenül. Mind a személyi, mind a tokenes hitelesítési és azonosítási adatok az NDS-ben tárolódnak, így a rendszergazda ugyanazon adatbázissal felügyelheti őket.
Szabályozható az egyidej behívásos kapcsolatok száma a megnövelt biztonság érdekében (még csak béta-változatban elérhető)	A rendszergazda a NetWare Administratoron keresztül korlátozhatja az egy felhasználó által egyidejleg használható behívásos hálózati kapcsolatok számát. Ez a funkció különösen az ISP-k számára lehet előnyös, ugyanis megakadályozza, hogy egyidejleg több felhasználók használja ugyanazt az Internet-hitelesítést.
Redundanciát tartalmaz a hibatrő mködés érdekében	Hibatrő biztonsági rendszer hozható létre két vagy több RADIUS-szerver egyazon NDS felhasználói adatbázishoz való konfigurálásával. Mivel osztoznak ugyanazon a konfiguráción, a megkettőzött szerverek egyszeren fenntarthatók, költséges másolgatások vagy egyéb munkák nélkül. Ha elromlik az elsődleges szerver vagy megsznik a hálózati kapcsolat, a felhasználók hitelesítési szolgáltatásai automatikusan átkerülnek a tartalék szerverre.
Egyetlen jelszóval férhetnek a felhasználók hálózathoz	A hálózat minden felhasználójának – még az ISP-ken keresztül bejelentkező távoli felhasználóknak is – csak egyetlen felhasználói azonosítót és jelszót kell beírnia a hálózathoz és az összes alkalmazáshoz, fájlhoz, nyomtatóhoz, szolgáltatáshoz és egyéb hálózati erőforrásokhoz való hozzáféréshez. (Megoldható az is, hogy a BMAS külön jelszót követeljen a hálózathoz való csatlakozáshoz és külön jelszót az NDS-re bejelentkezéshez.)
Automatikusan kezeli a hálózati protokollokat a kapcsolatok leegyszersítése érdekében	A távoli felhasználók hitelesítése után a RADIUS szerver automatikusan visszaküldi a hálózati hozzáférési szerverhez a felhasználó hálózati protokolligényeit és hozzáférési jogosultságokat meghatározó adatokat. Például a RADIUS szerver képes automatikusan utasítani a hálózati hozzáférési szervert egy PPP-kapcsolat felvételére. Ahelyett, hogy a kommunikációs protokollokkal kellene kínlódniuk, a felhasználók saját munkájukra koncentrálhatnak.
A bőséges proxy-szolgáltatások leegyszersítik a felügyeletet és megnövelik a rendelkezésre állást (még csak béta-változatban elérhető)	A proxy-szolgáltatások: Részleges tartománykezelés, amely leegyszersíti a felügyeletet az olyan ISP-k számára, akik csak főtartományokkal foglalkoznak. Például a nev@novell.com, a nev@sjf.novell.com és a nev@prv.novell.com egyaránt a novell.com főtartományhoz továbbítódnak. A proxy-számlázással a BMAS-szerver képes továbbítani a számlázási rekordokat más RADIUS-szerverekhez. A másodlagos proxyszerver kezelésével a BMAS-szerver képes átirányítani a számlázási és hitelesítési kéréseket egy másodlagos RADIUS-szerverhez, ha az elsődleges szerver képtelen kiszolgálni a kért folyamatot. Ez a funkció megnöveli a rendelkezésre állást.
Többféle platformot is kezel, hogy kihasználja a meglévő hálózati infrastruktúra befektetéseit	A BorderManager Authentication Service NetWare vagy Windows NT szerverekre telepíthető, hogy hozzáférést biztosítson a hálózat tetszés szerinti, akár összes szerveréhez. Együttmködik a RADIUS protokollt kezelő összes távoli hozzáférési szerverrel, proxyszerverrel és külső gyártók által készített kommunikációs termékkel – többek között a 3Com, az Ascend, a Bay Networks, a Cisco Systems, a Livingston, a Lucent, a Raptor, a Shiva és még sok más cég termékeivel. A BorderManager Authentication Service egyetlen, átfogó megoldást kínál az átlagos cégek összes hálózati biztonsági igényére.
Megtartja a helyi ellenőrzést a maximális biztonság érdekében	A BorderManager Authentication Service megtartja a felhasználók biztonsági felügyeletének helyi ellenőrzését – csatlakozzon a felhasználó akár közvetlenül, behívással, vagy akár tartományokon keresztül, egy RADIUS proxyszerver segítségével. Nem számít, hogy kinek a tulajdonában van a csatlakozás és a hardver, vagy hogy fizikailag hol találhatók. Egyedül a hálózati rendszergazda az, aki meghatározza, ki mihez férhet hozzá.
Pénzt takarít meg az erőforrás-kihelyezéssel	Azáltal, hogy teljeskör ellenőrzést képes biztosítani a távoli felhasználókat illetően is, a BorderManager Authentication Service lehetővé teszi, hogy egy cég kihelyezze máshová a modemek, a hálózati hozzáférési szerverek és más költséges infrastrukturális eszközök drága, időigényes felügyeletét egy Internet-szolgáltatóhoz anélkül, hogy veszélyeztetné a biztonságot.
Auditálási naplót tartalmaz a potenciális problémák megelőzéséhez	Minden kapcsolati kísérlet tranzakciói rögzítésre kerülnek az auditálási naplóban. Ez segíti a rendszergazdákat a problémák azonosításában, illetve a jogosulatlan felhasználók lenyomozásában.
Számlázási adatokat biztosít a hálózatfigyelés javításához	A számlázási napló beállítható, hogy figyelje a hálózat használatát, és ezek az adatok áttehetők Microsoft* Excel*-be és hasonló alkalmazásokba, kimutatáskészítés és számlázás céljából. A hálózati rendszergazda azonnal ki tudja mutatni, ki használja vagy ki él vissza a hálózattal, és még mielőtt a kialakuló problémák komoly gondot jelenthetnének, megoldhatja őket.
Csökkenti a hálózat összköltségét	Egy hálózat összköltsége drasztikusan csökkenthető a hálózatfelügyelet leegyszersítésével és a távoli kapcsolódási hardver más céghez kihelyezésével. A legtöbb cég, elvégezve a szükséges számításokat, hamar rájön, hogy a BorderManager Authentication Service-be fektetett értékeket sokszorosan kapja vissza.
Megfelel a jelenlegi és jövőbeni biztonsági igényeknek	A BorderManager Authentication Service architektúra megbirkózik a növekedéssel és a változásokkal egyaránt – tökéletesen méretezhető és egyszeren módosítható. Csakúgy, mint az NDS esetében, gyakorlatilag nincsen határa annak, hogy hány felhasználók kezel. Együttmködik minden RADIUS-kompatíbilis eszközzel, amely a rendszerbe kerül – legyen az magáé a cégé, vagy egy külső szolgáltatóé. Az új termékek és technológiák beépítéséhez csupán egyetlen attribútum-leíró fájlt (Attribute Dictionary File) kell letölteni a Webről. A BorderManager Authentication Service egyszeren alakítható a már meglévő konfigurációhoz, valamint a jövőben esetleg felvételre kerülő új felhasználókhoz és eszközökhöz.
Semmilyen további szoftverre nincsen szükség a távoli kliensekhez – még egyszerbb használat	A legtöbb jelenlegi hívó- és terminálemulátor program – közöttük a Windows 95* és a Windows NT hívóprogramjai – használható az NDS-hez való hozzáférésre. A legtöbb esetben a BorderManager Authentication Service a felhasználó oldalán való telepítésének ideje és költsége gyakorlatilag zérus.
Egyszeren telepíthető, átlátszó módon mködik	A BorderManager Authentication Service egy egyszer, szoftveres megoldás, amelyik együttmködik a szabványos, polcról leemelhető hardvereszközökkel. Egyszeren telepíthető akár betölthető NetWare-modulként, akár Windows NT szolgáltatásként, felügyeletére pedig a NetWare Administratorhoz való bedolgozómodul szolgál. Telepítés és konfigurálás után mindössze egyetlen érvényes jelszóra van szükség ahhoz, hogy a világon szinte bárhonnan hitelesített kapcsolaton keresztül csatlakozhassunk a hálózatra. Az egyetlen változás, amit a távoli felhasználók észlelnek, hogy a bejelentkezés és a hálózat használata hirtelen leegyszersödött.
Az iparágvezető Novelltől származó megoldás	A BorderManager Authentication Service integrálja a RADIUS nyújtotta biztonságot az NDS-sel, ezáltal lehetővé teszi, hogy a biztonsággal kapcsolatos kérdések is a teljes hálózat egészével egyformán legyen felügyelhető – a Novell iparágvezető megoldásain keresztül. Ami legalább ilyen fontos, hogy a BMAS mögött a Novell páratlan szerviz- és tanácsadási szolgáltatásai állnak. A BorderManager Authentication Service kiváló példa arra a megbízhatóságra, integrációra és minőségre, amelyet a Novell-vásárlók a világ hálózatos iparágának vezetőjétől elvárhatnak.

Funkció	BMAS	Steel-Belted RADIUS
Integrálva van az NDS-címtárral	Igen. A BMAS kiterjeszti az NDS sémáját a távoli felhasználókra, megtartva ezáltal az egyszer használat és felügyelhetőség előnyeit.	Nem. A Steel-Belted RADIUS for NetWare az NDS-t használja a felhasználók hitelesítéséhez, de a távoli hozzáférési konfigurációk különálló Steel-Belted RADIUS-adatbázisokban tárolódnak és felügyelődnek.
Egy adatbázis az összes felhasználóhoz	Igen. Mivel a BMAS hálózatalapú, a távoli felhasználókat egyszeren csak fel kell venni a meglévő NDS felhasználói adatbázishoz. Nincsen szükség arra, hogy elosszunk, replikáljunk vagy biztosítsunk egynél több különálló adatbázist a hálózaton, minden egyes hitelesítési szerverhez.	Nem. Mivel szerveralapú, a Steel-Belted RADIUS megköveteli, hogy különálló felhasználói adatbázisok legyenek a hálózaton és minden egyes hitelesítési szerveren. Az adatbázisok karbantartása és szinkronizálása folyamatos kihívást jelent.
Tökéletesen méretezhető	Igen. Mivel egyetlen, elosztott hálózati címtárat használ, a BMAS egyszeren méretnövelhető, pusztán további BMAS-szerverek felvételével.	Nem. A hálózatfelügyelet egyre kényelmetlenebb, ahogy újabb és újabb hitelesítési szerverek kerülnek be a hálózatba, mivel minden egyes szerver külön, független felhasználói adatbázisok karbantartását követeli meg.
Központi felügyelet	Igen. Minden felhasználó egyetlen központi munkaállomásról,a NetWare Administrator segédprogrammal felügyelhető. A funkciókészletében és használatának egyszerségében páratlan NetWare Administrator tökéletesen integrálódik az NDS-sel.	Nem. A hálózati rendszergazdának meg kell tanulnia a Funk egyedi eszközét a távoli hozzáférési szerverek felügyeletéhez. Ráadásul minden egyes szervert külön-külön kell felügyelni.
Hibatrő	Igen. A BMAS-szerver képes automatikusan csatlakozni egy másik NDS-szerverhez, ha az elsődleges NDS-szerver leáll.	Nem. Ha elveszíti a kapcsolatát az elsődleges NDS-szerverrel, akkor a Steel-Belted RADIUS visszautasításokat fog küldeni minden egyes, hitelesítéssel próbálkozó RADIUS-kliensnek. A normális mködés csak akkor áll vissza, ha az elsődleges NDS-szerver újra hozzáférhető a hálózaton.
Következetes, az egész hálózatra kiterjedő biztonság	Igen. Az NDS-en keresztül a biztonsági előírások végrehajtása ugyanaz a BMAS számára, mint a hálózat bármely más entitása számára. A biztonsági felügyelet egyszerbb a felhasználók csoportjai és szervezeti egységei szintjén, ugyanis az NDS-hierarchiában az objektumok megöröklik saját konténereik jogait. A BMAS-szerverek az NDS által biztosított, integráns részei a hálózatnak, vagyis jelszó szükséges a hitelesítési szolgáltatás megindításához is.	Nem. Lévén szerveralapú, kiegészítő termék, a Steel-Belted RADIUS nem képes biztosítani vagy végrehajtatni egy, az egész hálózatra kiterjedő biztonság irányelvet. A biztonságot egyenként kell felügyelni minden egyes RADIUS-szerveren, és magán a hálózaton. A következetesség csak a különböző szervereken lévő egyedi felhasználói azonosítók kézi szinkronizációjával érhető el. S végül bárki, aki fizikailag hozzáfér, elindíthatja a Steel-Belted RADIUS szolgáltatást, jelszó nélkül.
A hálózat csökkent összköltsége	Igen. A BMAS kihasználja a meglévő Novell-környezetet a felügyelet központosítása és a felügyeleti költségek csökkentése érdekében. S mivel kiválóan méretezhető, az új felhasználók és BMAS-szerverek felvételének költsége minimális.	Nem. Mivel a Steel-Belted RADIUS licencrendszere szerver-, és nem felhasználóalapú, a kezdeti felhasználónkénti költsége alacsonyabb lehet, ha nagyon sok felhasználó fér hozzá egy szerverhez. A valódi költségek között azonban ott van a meredekebb tanulási görbe, az extra felügyeleti problémák, és az adatok kettőzöttsége. Mindezen extra költségek tovább sokszorozódnak, ha új felhasználókat vagy szervereket kell felvenni.