Servizio AAA

Per effettuare l’autenticazione e l’autorizzazione degli utenti, nonché l’accounting degli accessi, il server RAS (Remote Access Service) centrale che accetta le richieste può impiegare uno dei seguenti servizi: RADIUS (Remote Authentication DialIn User Service), TACACS (Terminal Access Controller Access Control System), Kerberos, Diameter, ecc.

In alternativa esso può interagire con un server che svolge tali funzioni, e che per questo viene denominato AAA server – Authentication, Authorization, Accounting. Un AAA server svolge le seguenti funzioni: identificazione degli utenti, attribuzione dei loro permessi e controllo delle risorse utilizzate.

  • Authentication (Autenticazione: “chi sei”), processo di verifica dell’identità degli utenti che fanno una richiesta di accesso; può essere basato su una combinazione username/password oppure su metodi più sicuri che usano certificati digitali, smart card o altri “oggetti” anche fisici (impronte digitali, ecc.). In generale, ciò che identifica un soggetto ricade nelle seguenti tre categorie: something you know, something you have, something you are. Se si identifica un soggetto con almeno due metodi di categorie diverse, si parla di strong authentication, autenticazione forte;
  • Authorization (Autorizzazione: “che cosa puoi fare”), è il processo che assegna i permessi di accesso alle risorse attribuite agli utenti già autenticati, in base al loro profilo personale o, più spesso, a quello del gruppo cui appartengono (impiegati, amministrazione, dirigenti…);
  • Accounting (rapporto su “che cosa hai fatto”), è il processo di monitoraggio e registrazione delle risorse utilizzate dagli utenti. Può andare dal semplice record su data e ora del login, a un elenco dettagliato di tutte le risorse di rete a cui si è fatto accesso, con la durata dell’accesso stesso.

Authentication Server

Nell'autenticazione tradizionale l'utente invia l'username e la password al server, e se l'account esiste esso torna la sessione per l'utilizzo del servizio. Questo tipo di autenticazione ha un grosso problema: bisogna definire gli utenti in ogni server. Questo viene risolto con un Authentication Server che rilascia chiavi di sessione. L'AS:

  • Conosce le chiavi segrete degli utenti e dei servizi
  • Rilascia le chiavi di sessione strettamente legate utente/servizio (una chiave di sessione dell'utente "Pippo" per il servizio "A" non può essere utilizzato nel servizio "B" o dall'utente "Paperino"). Inoltre la sessione, chiamata "ticket" ha una scadenza.

Kerberos

Il protocollo Kerberos è usato da Windows 2000 (o successivi) come metodo primario per l’autenticazione degli utenti su computer con Windows 2000 (o successivi), in sostituzione del vecchio protocollo NTLM, nonostante quest'ultimo venga ancora mantenuto per la compatibilità verso client e server che usano Windows NT 4.0, o Windows 9x.

  • Sistema di autenticazione distribuito
  • Realizzato al MIT dall’ATHENA Group in alternativa al sistema di autenticazione tradizionale La versione 4 fu ideata nel 1987 da Steve Miller e Clifford Neuman La Version 5, John Kohl e Clifford Neuman, fu ideata nel 1990.

Nel mondo di Kerberos valgono 3 assunzioni:

  • La rete è insicura
  • Gli host sono sicuri
  • Le chiavi non sono banali

Radius

L'utente o macchina invia una richiesta ad un Network Access Server (NAS) di accedere ad una particolare risorsa di rete utilizzando le credenziali di accesso. Il NAS RADIUS invia un messaggio al server RADIUS con la richiesta di autorizzazione a concedere l'accesso,tale richiesta include le credenziali di accesso, di solito in forma di nome utente e password o altri certificati di sicurezza fornite dagli utenti. Inoltre, la richiesta può contenere altre informazioni che la NAS conosce l'utente.
Il server RADIUS verifica che le informazioni siano corrette utilizzando sistemi come l'autenticazione EAP (Extensible Authentication Protocol)
Il server può fare riferimento a fonti esterne - comunemente SQL, Kerberos, LDAP, Active Directory o server - per verificare che le credenziali dell'utente.
Utilizzato per esempio per l’accesso alle reti Wi-Fi.

  • è un protocollo AAA (authentication, authorization, accounting) utilizzato in
  • applicazioni di accesso alle reti è un protocollo client/server, connectionless, basato su UDP

Nello schema RADIUS quindi agiscono tre entità:

  • l'host richiedente (colui che richiede l'autenticazione)
  • il client RADIUS (client rispetto al server RADIUS).
  • il server RADIUS (che gestisce l'archivio dei segreti degli account).

results matching ""

    No results matching ""