iChain
Az iChain a Novell élvonalbeli megoldása, amely méretezhető, LDAP alapú biztonsági rendszert biztosít a webszerverek és a kritikus fontosságú webes üzleti alkalmazások számára. Az iChain lehetővé teszi azon webes alkalmazások „címtárra felkészítését” is, amelyek maguk nem biztonságos LDAP címtárat használnak a hitelesítéshez és a hozzáférés-vezérléshez. Része az iChain csomagnak egy proxyszerver, amely gyorsabbá és biztonságosabbá teszi a webes üzletmenet és képes a teljes portálon áthaladó forgalom titkosítására. Az iChain fontos szolgálatásai közé tartozik a webes szolgáltatások kiegészítése erős hitelesítési eszközökön (pl. tokeneken) alapuló azonosítással, valamint az egypontos bejelentkezés megvalósítása a portál összes alkalmazásához. Szintén része az iChain csomagnak számos előre elkészített, Java alapú szolgáltatás is, amelyek lehetővé teszik a felhasználók LDAP alapú önregisztrációját, az azonosítók és a hozzájuk tartozó attribútumok módosítását, illetve hogy a felhasználók maguk kezeljék saját jelszavaikat.
Proxyszolgáltatások
Az iChain egy a webes szolgáltatások pl. a vállalati portal “elé” telepíthető biztonsági megoldás, amelynek legfontosabb komponense egy proxyszerver. A portal különböző szolgáltatásai ezen proxyszerveren keresztül érhetők el és ez a megoldás számos hasznos funkcióval egészíti ki a portálokat, illetve a különböző webes szolgáltatásokat. (az iChain szabványos felépítése révén bármilyen gyártó portálmegoldásához használható, mint biztonsági megoldás)
- Biztonságos adatcsere (SSL'izer). A szabványos HTTP webszerver-oldalak HTTPS-sé alakíthatók (és közben cache-sel gyorsíthatók) anélkül, hogy foglalkozni kellene a szerverkulcsok létrehozásával és felügyeletével, vagy módosítani kellene magukat a weboldalakat.
- DNS-leképezés. Az iChain Proxy képes arra, hogy a www.novell.com/army-hoz hasonló URL-t például az army.novell.com címmé oldja fel. Ez a cég belső környezetét elrejti a kíváncsi külső szemek elől.
- Többutas rendszerek. Több belső webszerver is definiálható ugyanazzal a nyilvános (külső) IP címmel és porttal, azaz nem kell minden egyes fizikailag külön gépen található webszerverhez nyilvános IP címet rendelnünk, hanem egyetlen címen keresztül kezelhető az összes portál szolgáltatás.
- „Nincs cache” üzemmód. A rendszergazda megteheti, hogy egy adott gyorsítón letiltja az adatok cache-elését, mind a proxyn, mind a böngészőn, függetlenül attól, hogy az eredeti oldalak maguk cache-elhetők-e, ezzel is védve pl. a bizalmas adatokat.
- nkiszolgálás. A felhasználók maguk jelentkezhetnek be a címtárba, maguk módosíthatják/frissíthetik adataikat és kezelhetik jelszavaikat.
Hitelesítési szolgáltatások
Az iChain szerver egy szabványos LDAP címtárt, pl. a Novell eDirectory-t használ a felhasználók hitelesítésére.
- Rugalmas LDAP alapú hitelesítés. Több különféle módon is ellenőrizhetők az LDAP felhasználók, például teljes megkülönböztetett névvel (DN), közönséges névvel (CN), sőt, gyakorlatilag bármely más LDAP felhasználói attribútummal (pl. „TAJ-szám”, vagy „email cím”).
- Továbbfejlesztett hitelesítés. Token alapú módszerek és RADIUS is használható a felhasználó azonosítására
- PKI tanúsítvány alapú hitelesítés. Szabványos X.509 tanúsítványok (akár külső féltől származó tanúsítványok) segítségével is történhet a hitelesítés.
- PKI tanúsítványok visszavonási listájának (CRL) kezelése. A tanúsítvány hitelesítése során ellenőrizhető a CRL.
- Több CA kezelése. Több tanúsítvány-hatóság (Certificate Authority) is használható a tanúsítvány alapú hitelesítés során. Azt, hogy mely CA-k tanúsítványait tekinti az iChain hitelesnek, a rendszergazda adja meg.
Engedélyezési szolgáltatások
A felhasználó azonosítása után az iChain szerver a felhasználónak a címtárban elfoglalt helye alapján biztosít hozzáférést a portal különböző szolgáltatásaihoz. Az egyes weblapok biztonsági beállításai ugyanis a címtár alapján szabályozhatók, megoldható, pl. hogy egy webhely minden része nyilvánosan elérhető legyen, kivéve a kivétellistában megadott URL-eket.
Egypontos bejelentkezés
Az iChain képes a címtárban tárolt felhasználói azonosító és jelszó továbbítására az általa kezelt webszerverekre, így a vállalati portálba integrált összes szolgáltatásra megvalósítható az egypontos bejelentkezés függetlenül attól, hogy melyik szolgáltatást melyik webszerveren valósítottuk meg.
Felügyeleti szolgáltatások
Az iChain a szabványos, címtár alapú architektúra révén bármilyen portal mellett hatékony eszközt nyújt a biztonsági beállítások egy helyen történő felügyeletére. A költséghatékony felügyelet mellett számos extra felügyeleti funkciót is biztosít.
- Jelszó-irányelvek betartatása. A rendszergazdák különféle, a jelszavakra vonatkozó szabályokat hozhatnak a biztonság növelése érdekében. A használható jelszószabályok: minimális hossz, szótárban való keresés, minimális karakter/szám követelmények, újrafelhasználás (korábbi jelszavakkal való összevetés), lejárati időtartamok.
- Erős titkosítás kikényszerítése. Beállítható, hogy az SSL kizárólag erős titkosítást használjon (megakadályozható a gyenge titkosítást használó böngészőkről történő hozzáférés), illetve hogy erőset és gyengét egyaránt.
Teljesítmény és méretezhetőség
Az iChain egy cache és titkosítási szolgáltatásokra optimalizált célszoftver, nem pedig egy általános célú operációs rendszerre telepített alkalmazás. Emiatt lényegesen nagyobb teljesítményt és jobb skálázhatóságot nyújt, mint a konkurens megoldások. A skálázhatóságot és a megbízhatóságot tovább javítja, hogy mind az iChain szerver, mind az autentikációt végző LDAP szerver “cluster-be köthető”, azaz több gép mködhet egymással párhuzamosan ugyanazt a szolgáltatást nyújtva. Bármelyik meghibásodása esetén a továbbmködő gépek biztosítják a szükséges szolgáltatást.
 |
|
 |
|
| |
|
|
|