slide1
Download
Skip this Video
Download Presentation
ОКБ САПР

Loading in 2 Seconds...

play fullscreen
1 / 11

ОКБ САПР - PowerPoint PPT Presentation


  • 120 Views
  • Uploaded on

Идентификация и аутентификация пользователей при работе подсистемы разграничения доступа в ОС Linux. Каннер А. М. ОКБ САПР. 1. Подключаемые модули аутентификации ( PAM ). Кратко о PAM….

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' ОКБ САПР' - cytheria-zenon


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux

Каннер А. М.

ОКБ САПР

slide3
Кратко о PAM…
  • Пришел на смену процедурам идентификации / аутентификации (и/а), интегрированным в отдельные приложения (login, su, sudoи пр.);
  • Является механизмом «внешней» аутентификации;
  • Фактически представляет из себя набор внешних модулей, которые можно встраивать в любые приложения;
  • Является основной системой и/а в ОС семейства Unix, в т.ч. GNU/Linux;
slide5
Зачем нам PAM?
  • PAM предоставляет интерфейс для встраивания собственного механизма и/а взамен штатного в ОС семейства UNIX:
    • с поддержкой идентификации с помощью аппаратных идентификаторов (ТМ, card eID, ПСКЗИ ШИПКА и др.);
    • с возможностью дополнительной и/а как в АМДЗ, так и в собственном модуле ядра защиты, т.н. мониторе разграничения доступа (МРД) собственной подсистемы разграничения доступа;
    • с возможностью «сквозной» аутентификации пользователя в ОС.
slide7
Место МРД и PAM в процессе загрузки ОС
  • отработка штатного BIOS;
  • передача управления загрузчику (в boot record);
  • загрузка ядра ОС и образа initrd в память, монтирование sysroot с доступом read-only;
  • загрузка МРД в ядро ОС;
  • запуск init, запуск служб ОС, перемонтирование sysroot на запись, монтирование дополнительных файловых систем;
  • запуск login (gdm или др.) и аутентификация пользователя с помощью PAMв ОС и МРД.
slide8
Порядок взаимодействия PAM с МРД
  • Запускается утилита login (gdm или др.), делегирующая функции и/а PAM-модулю;
  • PAM-модуль:
    • запрашивает идентификатор (TMid) и пароль у пользователя;
    • рассчитывает хеш от TMid и передает в МРД (netlink);
  • МРД:
    • ищет пользователяв собственной БД и сравнивает полученное значение хеша;
      • если хеш совпадает – возвращает имя пользователя PAM (netlink)и заносит событие в лог;
      • если хеш не совпадает – возвращаетв PAM код ошибки и заносит событие в лог.
slide9
Кросс-делегирование аутентификации пользователя
  • В процессе аутентификации пользователя в МРД могут учитываться дополнительные параметры:
    • возможность входа указанного пользователя в систему (выполнение login);
    • возможность удаленного входа в систему;
    • возможность входа пользователя в зависимости от разрешенного времени работы;
    • прочие дополнительные проверки.
  • Т.о., например, утилита login делегирует функции и/а PAM-модулю, а PAM-модуль в свою очередь делегирует часть этих функций МРД в ОС.
slide10
Вместо заключения…

Аппаратный компонент?

  • Следует помнить, что наиболее важным компонентом всей подсистемы разграничения доступа (и PAM в частности) является АМДЗ, с помощью которого должен осуществляться:
    • контроль компонентов подсистемы разграничения доступа (в т.ч. PAM-модулей);
    • контроль целостности образа /boot/initrd, в котором прописывается порядок начальной загрузки ОС (в т.ч. и загрузка монитора разграничения доступа);
    • контроль целостности ядра ОС - /boot/vmlinux;
    • контроль целостности настроек загрузчика (например, /boot/grub/grub.cfg)и самого загрузчика (boot record).
slide11
Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux

Каннер А. М.

ОКБ САПР

ad