Для успешной настройки , и последующей эксплуатации модуля корпоративной авторизации WNAM вы должны легко ориентироваться в применяемых терминах и технологиях. Для вашего удобства мы разработали требуется понимание и знание применяемых терминов и технологий. С целью повышения осведомленности о технологиях системы WNAM был разработан словарь.
| Warning |
|---|
Нижеследующий текст не претендует на исчерпывающее руководство по технологиям PKI, 802.1x и так далеет.п, и не содержит математических принципов, применяющихся в алгоритмах шифрования на открытых ключах и цифровых подписях. Информация и объяснения определения даны в очень упрощенном видеупрощенной форме. Если вам хочется разобраться более детально, обратитесь требуется более детального изучения, следует обратиться к специализированной литературе. |
...
Сертификат
Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и конца завершения валидности, публичный ключ, название и идентификатор тогосущности, кто этот подписавшей сертификат подписал (другой сертификат). Служит для подтверждения "идентичности" того, кто сертификат предъявляетпредъявителя сертификата. При правильной корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до того сертификата, который числится в "заведомо доверенных" на устройстве.
Удостоверяющий центр
Организация либо управляемая управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов , и публикующая списки отзыва и т.п.
...
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Текстовый. Закодирован Файл является текстовым и закодирован в BASE64. Содержит Сертификат, ключ и т.п. содержится в начале и конце строки файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.
...
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Бинарный. Технически Файл является бинарным и технически эквивалентен PEM.
Открытый и закрытый ключи
Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства , и никогда не передается по сети в открытом виде.
...
Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Его Файл допустимо пересылать по сети , для последующей установки в клиентское устройство.
...
Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе , для авторизации на основе сертификатов.
LDAP
Служба каталога, справочник, а также сам протокол, по которому передаются запросы и получаются возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows.
Active Directory
Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, помогает позволяет распространять групповые политики и т.п.
...
Служба каталога в открытой реализации. Входит в состав многих большинства (в том числе российских) дистрибутивов Linux.
...
Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP , для последующей их передачи серверу авторизации.
...
Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется тогда, когда оконечное устройство не поддерживает протокол 802.1х.
Аутентификация
Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи , (логина , и пароля), сертификата, анализа других параметров (например, откуда и когда осуществлено подключение, с какого типа место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение , допускать в сеть, или нето допуске/запрете подключения к сети.
Авторизация
Процесс определения реультирующих результирующих прав подключающегося устройства, то есть назначения тому назначенных определенных политик, например, ограничение скорости или номера VLAN.
...
При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство - (VPN шлюз, коммутатор ЛВС, контроллер БЛВС - ) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Никогда аккаунтинг Аккаунтинг не передает информацию о том, куда (на какие ресурсы) по ресурсам, к которым подключается абонент : (это дело функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).