Система управления ресурсами на основе единой аутентификации
Доказано, что оптимальным средством хранения ресурсов для организации единого хранилища информации является создание иерархической базы данных пользователей на базе протокола LDAP. Преимущества LDAP в плане структурированности и работы с клиентами.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 02.02.2019 |
Размер файла | 16,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Система управления ресурсами на основе единой аутентификации
Сейткасым Р.С.
Новосибирский национальный исследовательский
государственный университет, Новосибирск
Любая крупная организация обладает обширным набором разнородных информационных ресурсов, содержит в себе большое количество веб-сервисов и служб (Wi-Fi, VPN и т.д.), таких как база знаний, веб-интерфейс для файлового хранилища, интерфейс для почты, форум и прочее. С ростом количества сервисов конечному пользователю приходится запоминать все большее число паролей. Частично эту проблему решают такие средства, как LDAP или Active Directory и им подобные, вводя унифицированную систему вида "логин - пароль" для всех сервисов. Однако они не решают проблему постоянной необходимости ввода этих логина и пароля для доступа к тому или иному сервису, что порождает проблемы.
Во-первых, снижается безопасность среды в целом. В случае шифрования трафика, далеко не факт что используются сертификаты, подписанные авторизованными центрами, а такие сертификаты легко подделать.
Во-вторых, постоянная необходимость вводить свои данные - это неудобство для пользователей среды. При необходимости постоянно отсылать свои данные для доступа опять возникает проблема безопасности, так как данные, которые регулярно передаются по сети, становится проще перехватить.
Единая система аутентификация позволяет решить эти проблемы. Во-первых, пропадет необходимость пользователю каждый раз вводить свои данные. Во-вторых, упрощается процедура управления аутентификацией пользователей на множестве сервисов. Появляется возможность создавать группы пользователей с различными уровнями доступа, при этом, не затрагивая настройки конкретных сервисов.
Чаще всего под единой системой аутентификации понимают систему «однократной регистрации» (Single Sign-On, SSO). Предназначение такой системы - снятие необходимости многократно вводить пароли (или аутентифицироваться каким-либо иным способом) при работе с различными приложениями. Вместо ввода нескольких паролей пользователь вводит один пароль или использует какой-либо способ физической аутентификации (смарт-карты, отпечатки пальцев, криптографические калькуляторы и т. д.).
Существует два основных подхода к SSO. Первый подход заключается в создании механизма, способного заполнить возникающий на экране пользователя запрос на ввод пароля. При этом сам пароль располагается в зашифрованном виде либо локально, на рабочей станции пользователя, либо в надежном центральном хранилище. Этот подход наиболее актуален для реализации SSO в среде уже существующих (как правило, клиент-серверных) приложений, ибо не требует никакой доработки клиентского или серверного программного обеспечения.
Второй подход заключается во внедрении системы «билетов». В общих чертах такая система работает следующим образом: при первой регистрации пользователь получает электронный билет, подтверждающий его право на вход в определенные системы. Впоследствии сами системы могут на основании этого билета «впустить» пользователя без дополнительной аутентификации. Такие системы применяются в первую очередь для Web-приложений, где в качестве билета используется аппарат cookie, хранимый в браузере пользователя. Другая распространенная реализация этого подхода - механизм Kerberos, реализованный, в частности, в Windows Server. Такой способ требует настройки сервера (а в случае с Kerberos и клиента) для работы с билетами.
Строго говоря, аутентификация после внедрения систем однократной регистрации вовсе не обязательно должна стать действительно «однократной» в смысле «одна аутентификация при входе в операционную систему». Скорее, процесс аутентификации должен стать контролируемым. Например, имеет смысл требовать от пользователя производить повторную аутентификацию в определенное время или запрашивать аутентификации при проведении особенно важных (например, финансовых) операций.
На сегодняшний день возможности по реализации SSO присутствуют в том или ином виде в большинстве портальных решений (ибо им чаще всего требуется обеспечить доступ одновременно к нескольким приложениям заднего плана). Лидерами рынка Web-средств SSO являются Netegrity SiteMinder и Oblix NetPoint, Cosign, OpenSSO, а из средств автоматического заполнения паролей стоит отметить Novell Secure Login и Evidian AccessMaster SSO.
В НГУ разрабатывается достаточно большое число различных программных комплексов и приложений, которые включают в свой функционал пользовательскую авторизацию. На данный момент каждый программный продукт имеет свою отдельную базу данных для хранения пользовательской информации. Аутентификация, соответственно, тоже проводится нецентрализованно, что существенно тормозит работу во время обращения пользователей по поводу смены паролей. В результате, нами было принято решение о создании системы единой аутентификации на базе протокола LDAP.
В настоящее время ведутся активные работы по созданию системы единой аутентификации и ее внедрению. Наша система предоставит следующие профессиональные функции:
* Добавление, удаление, редактирование пользовательских учетных записей администратором;
* Централизованная аутентификация пользователей;
* Надежное хранение пользовательской информации.
Требования к разрабатываемой системе:
1. Прозрачность для пользователя. В идеале пользователь не должен знать о существовании специального сервиса аутентификации.
2. Масштабируемость, то есть возможность включения в систему всех университетских сервисов.
3. Среда функционирования - Linux/Unix.
4. Низкая требовательность к аппаратным ресурсам.
5. Низкая сложность написания дополнений по интеграции приложений в систему.
В результате анализа программных продуктов по реализации SSO было принято решение внедрить в систему проект Cosign, как инструмент для единой аутентификации, в частности использующий второй подход к SSO. Cosign наилучшим образом удовлетворяет предъявленным требованиям.
Cosign - это проект с открытым исходным кодом (Open Source), разработанный в Институте Мичигана (University of Michigan) как аутентификационная система единого входа для веб-приложений.
Помимо низкой ресурсоемкости и низких накладных расходах при внедрении к достоинствам Cosign можно также отнести наличие полной документации и сообщества поддержки, в которое входят технические специалисты из многих университетов мира: The University of Edinburgh, The University of Auckland, The Pennsylvania State University и других.
Также, для функционирования системы, в рамках данной работы, должен будет разработан автономный компонент «Менеджер ролей», ответственный за управление правами и выдачи информации о правах того или иного пользователя.
Управление правами пользователей данного компонента должно быть основано в рамках ролевой модели, абстрагировано от механизмов авторизации, аутентификации, хранения пользовательской сессии и других аспектов функционирования системы управления информационными ресурсами.
Оптимальным средством хранения ресурсов для организации единого хранилища информации является создание иерархической базы данных пользователей на базе протокола LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к каталогам). LDAP построен по объектно-ориентированному принципу и позволяет с лёгкостью добавлять и изменять объекты при помощи файлов схем. Кроме этого, LDAP обладает большими возможностями в плане структурированности и работы с клиентами различных платформ. На основе LDAP легко построить гетерогенные сети, кроме этого, информация об объектах хранится в древовидном виде.
В ближайшее время планируется апробировать и ввести данную систему в эксплуатацию.
Система единой аутентификации позволит существенно ускорить деятельность НГУ по вопросам работы с аутентификационными данными пользователей.
управление ресурс аутентификация база
Литература
1. Федотов А.М. Информационная безопасность в корпоративной сети // Проблемы безопасности и чрезвычайных ситуаций / ВИНИТИ. М.: ВИНИТИ, 2008. № 2. С. 88-101.
2. Жижимов О.Л., Федотов А.М. Модели управления доступом к распределенным информационным ресурсам // Электронные библиотеки: перспективные методы и технологии, электронные коллекции. Труды Девятой Всероссийской научной конференции RCDL'2007 (Переславль-Залесский, Россия, 15-18 октября 2007 г.). Переславль-Залесский: изд.-во «Университет города Переславля», 2007. - ISBN 978-5-901795-09-5. - с. 301-304.
3. Шокин Ю.И., Федотов А.М. К вопросу о развитии информационной инфраструктуры СО РАН // Вычислительные технологии. - 2009. - т.6, № 6. - с. 127-137.
4. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бездушный А. Н. Вопросы интеграции информационных и сетевых служб. Варианты использования LDAP каталогов // Труды 6-ой Всероссийской научной конференции «Электронные библиотеки: перспективные методы и технологии, электронные коллекции» - RCDL2004,Пущино, Россия, 2004.
5. Барахнин В.Б. Жижимов О.Л. Степанов Ю.Ю. Федотов А.М. LDAP-каталог организации как ядро корпоративной распределенной информационной системы // Инновационные недра Кузбасса. IT-технологии: сборник научных трудов. - Кемерово: ИНТ, 2008. - С. 226-232.
Размещено на Allbest.ru
...Подобные документы
Исследование основных требований к системе управления взаимоотношениями с клиентами. Разработка логической структуры базы данных. Хранимые процедуры и триггеры. Особенности их использования. Настройка репликации в СУБД Postgres. Настройка сервера LDAP.
курсовая работа [926,8 K], добавлен 26.01.2013Построение схемы хранилища данных торгового предприятия. Описания схем отношений хранилища. Отображение информации о товаре. Создание OLAP-куба для дальнейшего анализа информации. Разработка запросов, позволяющих оценить эффективность работы супермаркета.
контрольная работа [1,9 M], добавлен 19.12.2015Анализ системы управления базами данных, основные задачи: обработка информации, организация работы пользователей. Access как функционально полная система, имеющая мощные средства для работы программы. Этапы разработки базы данных торговой организации.
контрольная работа [458,0 K], добавлен 05.01.2013Основные виды баз данных. Система управления базами данных. Анализ деятельности и информации, обрабатываемой в поликлинике. Состав таблиц в базе данных и их взаимосвязи. Методика наполнения базы данных информацией. Алгоритм создания базы данных.
курсовая работа [3,1 M], добавлен 17.12.2014Понятие базы данных, её структура. Общие принципы хранения информации. Краткая характеристика особенностей иерархической, сетевой и реляционной модели организации данных. Structured Query Language: понятие, состав. Составление таблиц в Microsoft Access.
лекция [202,8 K], добавлен 25.06.2013Проектирование системы управления базой данных "Почтовые отделения" для создания единой информационной системы: создание таблиц для хранения данных, ввод данных, разработка элементов базы, предназначенных для просмотра, редактирования и вывода информации.
курсовая работа [1,4 M], добавлен 31.03.2010Создание базы данных для хранения информации о пользователях системы. Применение механизма аутентификации и управления сессиями. Описание программных мер, предпринятых для обеспечения безопасности информационных ресурсов образовательного веб-портала.
дипломная работа [2,2 M], добавлен 27.06.2012Формы представляемой информации. Основные типы используемой модели данных. Уровни информационных процессов. Поиск информации и поиск данных. Сетевое хранилище данных. Проблемы разработки и сопровождения хранилищ данных. Технологии обработки данных.
лекция [15,5 K], добавлен 19.08.2013Методы построения хранилища данных на основе информационной системы реального коммерческого предприятия. Основные аналитические задачи, для решения которых планируется внедрение хранилищ данных. Загрузка процессоров на серверах. Схемы хранения данных.
контрольная работа [401,0 K], добавлен 31.05.2013Автоматизированные базы данных в учебном процессе. Создание базы данных для МОУ СОШ № 12 с целью помощи в обеспечении централизованного управления, хранения информации об учениках. Требования к программе, условия эксплуатации. Программный код базы данных.
дипломная работа [2,0 M], добавлен 25.03.2014Трансляция полей формы. Метод аутентификации в Web как требование к посетителям предоставить имя пользователя и пароль. Форма для передачи данных. Использование базу данных для хранения паролей. Разработка сценарий для аутентификации посетителей.
лекция [225,0 K], добавлен 27.04.2009Разработка программы для учета услуг на предприятии и хранения данных о сотрудниках и заказчиках. Анализ и состав входящей и исходящей информации. Структура базы данных, выполнение запросов. Система управления базами данных, принципы их организации.
курсовая работа [1,7 M], добавлен 06.12.2012Создание базы данных и ее системы управления. Динамическая информационная структура, двунаправленный список. Создание файла, содержащего сведения об абонентах телефонной сети. Вывод информации в файл для печати. Обработка информации в базе данных.
курсовая работа [1,7 M], добавлен 18.03.2013Создание базы данных. Поиск, изменение и удаление записей. Обработка и обмен данными. Проектирование базы данных. Определение формул для вычисляемой части базы. Редактирование полей и записей. Формы представления информации, содержащейся в базе данных.
курсовая работа [67,0 K], добавлен 23.02.2009Создание базы данных частной клиники, предназначенной для хранения информации о врачах и пациентах, распорядке работы больницы, с возможностью внесения данных, вывода информации в необходимом формате. Проектирование таблиц, запросов, форм и отчетов.
курсовая работа [1,8 M], добавлен 02.12.2012Понятие и структура хранилища данных, его составные элементы и назначение. Технологии управления информацией. Методика создания базы данных и составления ее схемы, пользовательские формы, структура и содержание таблиц. Программная реализация базы данных.
дипломная работа [1,4 M], добавлен 13.04.2010Создание базы данных с помощью ACCESS для автоматизации работы базы отдыха. Оценка возможностей пользователей при работе с данной базой. Построение информационно-логической модели базы данных. Разработка запросов для корректировки и выборки данных.
курсовая работа [1,1 M], добавлен 19.10.2010Базы данных и системы управления базами данных. Физическое размещение и сортировка записей. Основные виды баз данных. Создание базы данных "Домашняя библиотека" в приложении Microsoft Access. Создание в базе данных запросов и скорость выбора информации.
курсовая работа [3,2 M], добавлен 07.05.2013Современные базы данных – многофункциональные программные системы, работающие в открытой распределенной среде изучении администрирования базы данных. Способы организации внешней памяти баз данных. Системы управления базами данных для хранения информации.
курсовая работа [185,6 K], добавлен 07.12.2010Рассмотрение вопроса автоматизации работы служб гостиницы. Разработка базы данных для работы с клиентами. Характеристика языка структурированных запросов SQL и его разновидности. Описание таблицы программы, ключей и диаграммы составленной базы данных.
курсовая работа [1,6 M], добавлен 27.05.2014