Синхронізація паролів, Windows IT Pro

Рішення від Microsoft для безпечного доступу

Для багатьох користувачів та адміністраторів паролі – це неминуче зло. Пароль - не пов'язаний з великими витратами засіб захисту доступу до ІТ-інфраструктури та її ресурсів, але невдало вибрані або погано керовані паролі можуть зробити вразливими корпоративні дані та ресурси. Крім того, через різні вимоги до паролів у різних додатках та середовищах більшості користувачів в кінцевому підсумку доводиться обзаводитися кількома паролями. Користувачі, змушені запам'ятовувати паролі, часто застосовують у цій якості однакові чи прості набори символів для запам'ятовування. Якщо пароль важко запам'ятати, користувач може записати його в блокноті, який завжди буде під рукою. Внаслідок цього різко зростає небезпека розголошення паролів.

синхронізація

Існує кілька способів підвищити надійність паролів та спростити керування ними. Зокрема, можна ввести в компанії політику надійних паролів, застосувати рішення для узгодження облікових даних та синхронізувати паролі.

Політики надійних паролів забезпечують зміну паролів через регулярні проміжки часу та відповідність певним вимогам щодо складності; ці умови знижують ймовірність успішного відгадування пароля та атак проти хеша пароля шляхом простого перебору. Засоби узгодження облікових даних зіставляють облікові дані користувача, необхідні доступу до різних ресурсів, з набором первинних облікових даних користувача. Успішна автентифікація з використанням первинних облікових даних розблокує інші облікові дані користувача та відкриває цьому користувачу єдину процедуру входу (SSO) для інших ресурсів.

Мета третього підходу – синхронізації паролів – допомогти адміністраторамта користувачам працювати з різними паролями. Завдяки синхронізації паролів завдання користувачів та адміністраторів суттєво спрощується, оскільки процес управління та обслуговування багатьох паролів зводиться до обробки одного. У цій статті йдеться про рішення Microsoft для синхронізації паролів між Active Directory (AD) та іншими репозитаріями. Спочатку ми розглянемо проблеми, які можуть виникнути під час побудови рішення для синхронізації паролів.

Визначення та проблеми

Засіб синхронізації паролів узгодить паролі користувача, що зберігаються у різних репозитаріях. Запам'ятати єдиний синхронізований пароль простіше, ніж кілька паролів, тому користувачі не так часто стикаються з проблемами та звертаються до довідкової служби. Крім того, синхронізовані паролі користувачі записують рідше на папері.

Існує два види засобів синхронізації паролів: односторонні та двонаправлені. У таблиці наведено чотири рішення синхронізації паролів Microsoft та їх характеристики (у тому числі зазначені односторонні та двонаправлені рішення). Більш повні відомості про ці рішення наведені в матеріалах урізання «Додаткові ресурси». Односторонні рішення для синхронізації паролів примусово поширюють зміни паролів із центрального сховища на набір пов'язаних сховищ — ці рішення також називаються проштовхуванням пароля. При двонаправленій синхронізації зміни паролів можуть проводитись у будь-якому із зв'язаних сховищ. Обидва рішення справляють враження простих операцій копіювання, але за їх застосуванні виникають певні проблеми.

І нарешті, для розв'язання двонаправленої синхронізації паролів потрібен механізм виявлення циклу синхронізації. Без виявлення циклу процес синхронізації пароля міжрізними сховищами продовжуватиметься нескінченно. При односторонній синхронізації паролів цієї проблеми немає.

Пакет розширень Microsoft >

Зв'язок ILM та IIFP з іншими сховищами заснований на наборі конекторів або агентів управління (MA), за термінологією Microsoft, що встановлюються на сервері ILM або IIFP. Синхронізація пароля ILM та IIFP не потребує встановлення спеціальних агентів на цільових комп'ютерах. Тому користувачі та адміністратори повинні завжди взаємодіяти безпосередньо з ILM або IIFP під час призначення або зміни паролів. Два примітні винятки з цього правила, які не потребують явної взаємодії між користувачем та ILM при призначенні паролів, — використання служби оповіщення про зміни пароля (PCNS) та створення диспетчером ILM нового облікового запису користувача. У першому випадку користувачі можуть безпосередньо взаємодіяти з Windows DC, щоб призначати та змінювати паролі. Далі у статті наводиться докладний опис PCNS. У разі ILM призначає паролю користувача заздалегідь певне значення, створюючи обліковий запис у процесі формування облікового запису користувача ILM.

Призначати та змінювати паролі можна з використанням агентів керування AD, ADAM та NT 4.0. Агенти керування Lotus Notes, Sun ONE Directory Server та eDirectory можуть лише призначати паролі. ILM та IIFP можна розширити, щоб надати служби синхронізації для інших сховищ шляхом створення спеціальних розширень для обробки паролів. Якщо адміністратора не лякає перспектива зайнятися програмуванням, то в довідковому посібнику з розробки, що поставляється разом з ILM та IIFP, дано докладний опис методів створення розширень для паролів.

Як зазначалося вище, паролі можна синхронізувати, тількиколи вони представлені у відкритому текстовому форматі (тобто під час операцій призначення, скидання чи зміни). ILM та IIFP підтримують такі інтерфейси для перехоплення відомостей про призначення та зміну паролів, а також запуску синхронізації паролів у групі пов'язаних сховищ: Web-програми Helpdesk Password Reset та Self-Service Password Reset та режим Change Password у діалоговому вікні Windows, що викликається натисканням клавіш Ctrl +Alt+Del.

При використанні режиму Change Password у діалоговому вікні Ctrl+Alt+Del користувачі взаємодіють із ILM або IIFP через контролер домену Windows, що виконує автентифікацію. Цей механізм зміни пароля вимагає встановлення служби PCNS на всіх DC у домені, де мають бути перехоплені зміни пароля користувача. Логіка PCNS реалізована в ILM та IIFP1a. Службу PCNS можна встановити на контролерах домену Windows 2000 та Windows Server 2003.

PCNS — це служба Windows, яка відстежує зміни пароля AD та повідомляє інші сервери (наприклад, сервери ILM) про ці зміни. PCNS складається з трьох програмних компонентів: DLL фільтрації паролів, PCNS та утиліти налаштування PCNS. DLL фільтрації паролів отримує текстову копію зміненого пароля від Local Security Authority (LSA — lsass.exe) контролера домену. PCNS отримує оповіщення про зміну пароля від фільтра паролів, встановлює в чергу і відправляє на цільові комп'ютери. Утиліта налаштування PCNS дозволяє встановити дані конфігурації PCNS. Ця інформація зберігається в AD і містить цілі оповіщення PCNS.

ILM та IIFP підтримують лише односторонню (з «проштовхуванням») синхронізацію пароля в змішаному середовищі (тобто з операційними системами Windows та відмінними від Windows). Як ILM, так і IIFP можуть реплікувати набори паролів та зміни, що виходять звідмінною від Windows сторони каналу синхронізації, у бік Windows.

Використання SFU або Windows 2003 R2

Служби Services for UNIX (SFU) 3.5 компанії Microsoft — програмний пакет, що безкоштовно надається користувачам Windows 2000 та Windows 2003. До нього входять інструменти та служби для інтеграції платформ Windows та UNIX/Linux. SFU також має службу синхронізації паролів. Частина служб SFU входить до Windows 2003 R2, зокрема служба синхронізації паролів. Додаткові відомості про продукт SFU та його служби доступні на веб-сайті Windows Services for UNIX Microsoft (http://www.microsoft.com/technet/interopmigration/unix/sfu/default.mspx ).

Служба синхронізації паролів SFU 3.5 та Windows 2003 R2 може синхронізувати паролі між платформами Windows 2003 R2, Windows 2003, Windows XP, Windows 2000 Server, Windows 2000 Pro, NT Server 4.0 та NT Workstation на стороні Windows та платформами HP-UX 1 Hat Linux 7.0, Solaris 7 та AIX 4.3.3 на боці UNIX. Служба забезпечує синхронізацію паролів між доменами та автономними комп'ютерами на боці Windows та між базами даних Network Information Service (NIS) та автономними комп'ютерами на боці UNIX/Linux.

Синхронізацію паролів SFU та Windows 2003 R2 можна налаштувати на роботу в обох напрямках (тобто від Windows до UNIX або від UNIX до Windows) для всіх перерахованих платформ UNIX, за винятком AIX. Служба синхронізації паролів SFU 3.5 та Windows 2003 R2 запускає синхронізацію кожного разу, коли користувач оновлює свій пароль на комп'ютері Windows (під час синхронізації Windows-UNIX) або на комп'ютері UNIX/Linux (під час синхронізації UNIX-Windows).

Для двонаправленої синхронізації паролів SFU та Windows 2003 R2 потрібно розгорнути спеціальну програму синхронізації.Якщо потрібно синхронізувати паролі між доменом Windows та середовищем UNIX/Linux, то служба синхронізації паролів SFU та Windows 2003 R2 має бути встановлена ​​на всіх контролерах домену Windows. Це обов'язкова вимога, тому що в моделі з кількома контролерами оновлювати паролі можна на будь-якому сервері. Службу синхронізації паролів також необхідно встановити на автономному комп'ютері Windows, якщо паролі синхронізуються між автономним комп'ютером і UNIX/Linux. Для синхронізації паролів Windows-UNIX/Linux на платформі UNIX/Linux потрібен демон ssod. Для синхронізації паролів UNIX/Linux-Windows необхідний модуль pam_sso на боці UNIX/Linux.

Host Integration Server 2006 (HIS 2006; http://www.microsoft.com/hiserver) - найсвіжіша версія програмного шлюзу компанії Microsoft для великих ЕОМ. Минулі версії Microsoft HIS випускалися під ім'ям SNA Server. За допомогою HIS 2006 компанії можуть інтегрувати найважливіші виробничі серверні програми, джерела даних, системи обробки повідомлень та безпеки в архітектурі, орієнтованій на Microsoft .NET, що дозволяє продовжити використання даних та додатків, розміщених на великих та середніх (IBM AS/400) комп'ютерах IBM у розподіленому середовищі.

Додатковий компонент HIS, Enterprise Single Sign-On (ENTSSO), забезпечує служби одноразової реєстрації (single sign-on, SSO) між Windows та середовищем міні-комп'ютерів та мейнфреймів. ENTSSO — добрий приклад серверного рішення SSO з кешуванням облікових даних. Поряд з SSO на основі кешування облікових даних на сервері ENTSSO може використовуватися для двонаправленої синхронізації паролів між Windows та іншими операційними системами. ENTSSO має інтерфейси синхронізації паролів і службу PCNS. Це та ж служба PCNS,яка застосовується в ILM та IIFP, описаних раніше. Служба PCNS також надсилає оповіщення про зміну пароля на сервер HIS ENTSSO.

І, нарешті, у складі HIS є агент, з допомогою якого можна зробити синхронізацію паролів ENTSSO двонаправленої при синхронізації з комп'ютерами AS/400. При роботі з мейнфреймами буде потрібний незалежний програмний агент, який дозволить досягти повної двонаправленої синхронізації з системами безпеки Resource Access Control Facility (RACF) та ACF2 компанії IBM, а також Top Secret компанії CA. Один із постачальників, що випускає агент синхронізації паролів для HIS ENTSSO, - Proginet (http://eps.proginet.com).

Використання Services for NetWare

Services for NetWare — програмний пакет, який безкоштовно надає компанія Microsoft, який дозволяє спростити інтеграцію AD і Novell Directory Services (NDS), eDirectory або середовища на основі бази даних bindery. Services for NetWare також забезпечує односторонню синхронізацію з AD з Bindery, NDS або eDirectory. Нова версія - Services for NetWare 5.03; Додаткові відомості наведено на веб-сайті Microsoft Windows Services for NetWare 5.03 Overview (http://www.microsoft.com/windowsserver2003/techinfo/overview/sfncd.mspx ).

Компонент Services for NetWare дозволяє використовувати один із наведених нижче методів синхронізації паролів.

Про рішення незалежних компаній

Жан де Клерк ([email protected] ) — член Security Office HP. Спеціалізується на проблемах управління ідентичністю та питаннями безпеки продуктів Microsoft

Поділіться матеріалом з колегами та друзями