Novell Modular Authentication Service (NMAS)

Az eDirectory-t többtényezős azonosítással és többszint hitelesítéssel bővítő Novell Modular Authentication Service-szel (NMAS) lényeges mértékben növelhető a hálózat biztonsága. E sokoldalú hitelesítés-felügyeleti megoldással tetszés szerint kombinálhatók a jelszavas és tokenes, az X.509 tanúsítványokra és biometrikai jellemzőkre épülő bejelentkezési módszerek a felhasználók hálózati erőforrásokhoz, adatokhoz és alkalmazásokhoz való hozzáférésének finoman szabályozható korlátozásához.

A többszint hitelesítés (graded authentication) újabb védelmi szintet jelent az informatikai rendszerben. Akár személyre szóló irányelvek is készíthetők, amelyek szabályozzák a felhasználóknak a NetWare-kötetekhez vagy az eDirectory címtárhoz történő hozzáférését. A felhasználók ún. bejelentkezési sorozatok (login sequence) használatával kapnak írási vagy csak olvasási jogokat az egyes fájlokhoz és objektumokhoz. Megfelelő mechanizmus védi, hogy a felhasználók ne másolhassanak adatokat egy magasabb biztonsági szint kötetről egy alacsonyabbra.

Jelszavas, tokenes, kártyás és biometrikus hitelesítési módszerek

Bár az eDirectory jelszavas rendszere is komoly biztonsági háttérrel bír, a jelszavas rendszer örökletes problémái a gondatlan felhasználók, akik túlságosan könnyen kitalálható jelszavakat használnak, vagy éppen felírják jól látható helyre azokat. &Eeacute;ppen ezért jogosan felmerülő igény, hogy a bizalmas adatokat a jelszavaktól eltérő módszerekkel is védhessük. Ezt az igényt szolgálja ki az NMAS.

A sokoldalú NMAS-megoldással a felhasználók biztonságosan azonosíthatják magukat az eDirectory számára valamivel, amit ismernek (jelszó), valamivel, amit magukkal hordanak (token, intelligens kártya vagy X.509 tanúsítvány), illetve valamivel, ami saját, elidegeníthetetlen jellemzőjük (pl. ujjlenyomat vagy hang). A Novell nem kívánja minősíteni a különféle hitelesítési módszereket, inkább lehetővé teszi mindegyik fajta egyenkénti vagy akár együttes használatát.

Többféle hitelesítési módszer az egyéni bejelentkezési sorozatokban

Minden egyes felhasználó ún. bejelentkezési sorozata (login sequence) meghatározza a különféle tényezőket - hitelesítési módszereket -, amelyeket használnia kell a hálózatra való bejelentkezés során. Sok cégnél ez csak a név és egy jelszó megadását jelenti. Más szervezeteknél azonban az alkalmazottaknak a tokennel vagy saját testi jellemzőjükkel (pl. ujjlenyomat) kapcsolatos adatokat is meg kell adniuk, egy meghatározott sorrendben. Az NMAS-sal tetszés szerinti számú hitelesítési módszert kombináló bejelentkezési sorozatok hozhatók létre, ezáltal a létező legnagyobb biztonságot valósítják meg az informatikai rendszerben.

Magasabb szint biztonság a többszint hitelesítéssel

A csak az NMAS-ben megtalálható többszint hitelesítés lehetőséget nyújt a hozzáférés szabályozására a felhasználó bejelentkezési módszerétől függően. A különféle típusú hitelesítések kombinációjának eredményeképpen az alábbi hitelesítési szintek különböztethetők meg:

  • Biometrika, jelszó és token
  • Biometrika és jelszó
  • Biometrika és token
  • Jelszó és token
  • Biometrika
  • Jelszó
  • Token

A felhasználók csak azokhoz a kötetekhez kapnak írási-olvasási jogokat, amelynek biztonsági címkéi pontosan megegyeznek a felhasználó hitelesítési szintjével. Ha a felhasználó hitelesítési szintje szigorúbb, mint a kötet biztonsági címkéje, akkor a felhasználó csak olvasási jogot kap a kötethez, ha gyengébb, akkor semmilyen hozzáféréshez nem jut.

Hadd mutassuk be egy gyakorlati példán a többszint hitelesítés legfontosabb előnyét: Tegyük fel, hogy nöknél az igen bizalmasnak számító „Cégfelvásárlások“ adatok az egyik köteten, míg a mindenki számára hozzáférhető PR-információ egy másikon található. Bár igen kevés ember fér hozzá a Cégfelvásárlások-hoz, szeretnénk biztosítani, hogy még csak véletlenül se másoljon át adatokat egy alacsonyabb biztonsági szint kötetre, mint amilyen a PR-információ is. Az NMAS többszint hitelesítése garantálja, hogy írható-olvasható hozzáférést csak a saját szintjükön kapnak a felhasználók, minden alacsonyabb szinten csak olvasásra lesz joguk. Így véd az NMAS a bizalmas adatoknak egy alacsonyabb szintre történő véletlen másolása ellen.

Hitelesítési módszerek a Novelltől és partnereitől

A Novell többféle hitelesítési módszert is kialakított a felhasználók eDirectory-jelszavakkal és X.509 v3 tanúsítványokkal történő bejelentkezéséhez. (Ez utóbbiak kezelhetők pl. a Novell Certificate Serverrel, amely szintén része az NMAS-csomagnak.) A Certificate Serverrel generált tanúsítványok és privát kulcsok kimenthetők egy lemezre, vagy áttölthetők egy intelligens kártyába és használhatók az eDirectory-ba való bejelentkezésre. Ezen felül több tucat vezető biztonsági cég jelentette be, hogy támogatja az NMAS-t. A Novell NMAS-partnerei a hálózati hitelesítés különféle aspektusait célozzák meg egyedi fejlesztés eszközeikkel. A Novell NMAS-partnereinek teljes listája megtalálható az NMAS Partners weblapon, a http://www.novell.com/products/nmas/partners/ címen.

Egyszer felügyelet ConsoleOne-nal

Az NMAS-információ felügyeletére a ConsoleOne nev javás felügyeleti program szolgál. Az NMAS felügyeletéhez a ConsoleOne-t egy helyi munkaállomásról kell futtatni.

A bizalmas adatok védelme NICI-vel

Minden, a hitelesítéssel kapcsolatos információt - a jelszavakat, az intelligens kártyák, tokenek adatait, a biometrikus jellemzőket és az X.509 digitális tanúsítványokat - a NICI (Novell International Cryptographic Infrastructure) titkosítja a tároláshoz és a továbbításhoz. A létező legerősebb titkosítási algoritumusokat alkalmazó NICI nemcsak védi az adatokat, hanem automatikusan alkalmazkodik az egyes országok titkosítással kapcsolatos rendelkezéseihez is.

Ipari szabvány, X.509 v3 PKI-tanúsítványok használata

A Novell Certificate Server 2.0 egy, az eDirectory-val integrált, nyilvános kulcsú kriptográfiai szolgáltatásokat biztosító termék, amellyel X.509 v3 szabványnak megfelelő tanúsítványok hozhatók létre, bocsáthatók ki és felügyelhetők. A tanúsítványok olyan digitális kiegészítései az üzeneteknek, amelyekkel ellenőrizhető és hitelesíthető a küldő személyazonossága, illetve biztosítható az üzenetek titkossága.

Hagyományosan a tanúsítványokat és a titkosítás kulcspárjait úgynevezett tanúsítványhatóságoktól (Certificate Authority, CA) kellett, igen drágán vásárolni. A Novell Certificate Serverrel a szervezeten belül saját CA alakítható ki, vagyis egy központi helyről tetszés szerinti számú PKI-tanúsítvány és kulcspár generálható, ráadásul ingyen. Az NMAS felismeri és érvényes eDirectory-hitelesítési jellemzőként használja a Novell Certificate Server által generált X.509 v3 tanúsítványokat. Ehhez a tanúsítványt vagy át kell tölteni egy intelligens kártyába, vagy meg kell adni a helyét az eDirectory-nak bejelentkezéskor.