Для успешной настройки и последующей эксплуатации модуля корпоративной авторизации WNAM требуется понимание и знание применяемых терминов и технологий. С целью повышения осведомленности о технологиях системы WNAM был разработан словарь.
Нижеследующий текст не претендует на исчерпывающее руководство по технологиям PKI, 802.1x и т.п, и не содержит математических принципов, применяющихся в алгоритмах шифрования на открытых ключах и цифровых подписях. Информация и определения даны в упрощенной форме. Если требуется более детального изучения, следует обратиться к специализированной литературе.
Сертификат
Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве.
Удостоверяющий центр
Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п.
PEM
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.
DER
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM.
Открытый и закрытый ключи
Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства и никогда не передается по сети в открытом виде.
PFX
Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство.
CSR
Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.
PKI
Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов.
LDAP
Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows.
Active Directory
Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п.
FreeIPA
Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux.
802.1x
Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации.
MAB или MAC Bypass
Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х.
Аутентификация
Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети.
Авторизация
Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN.
Аккаунтинг
При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).
| Термин | Определение |
|---|---|
| Сертификат | Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве. |
| Удостоверяющий центр | Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п. |
| PEM | Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п. |
| DER | Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM. |
| Открытый и закрытый ключи | Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства и никогда не передается по сети в открытом виде. |
| PFX | Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство. |
| CSR | Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью. |
| PKI | Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов. |
| LDAP | Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows. |
| Active Directory | Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п. |
| FreeIPA | Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux. |
| Протокол 802.1x | Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации. |
| MAB или MAC Bypass | Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х. |
| Аутентификация | Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети. |
| Авторизация | Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN. |
| Аккаунтинг | При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.). |