Authentication Servers سرورهای تشخیص هویت

Authentication ServersAuthentication Serversهویت تشخیص هویت سرورهای تشخیص سرورهای

ابطحی ابطحی استاد استاد

موسوی رضا وحید موسوی سید رضا وحید سید8117490381174903

جدی جدی مشکالت مشکالت

مجاز غیر های مجاز دسترسی غیر های دسترسی حیاتی و مهم بسیار های حیاتی داده و مهم بسیار های داده با های پروسس خروج و ورود کنترل به با نیاز های پروسس خروج و ورود کنترل به نیاز

دارای های سیستم منابع در تغییر ایجاد دارای قابلیت های سیستم منابع در تغییر ایجاد قابلیتدسترسی میزان کردن مشخص نیز و دسترسی اهمیت میزان کردن مشخص نیز و اهمیت

آنهاآنها سمع استراق مشکل و اطالعات امن سمع تبادالت استراق مشکل و اطالعات امن تبادالت

اطالعاتی!اطالعاتی!

هویت هویت تشخیص تشخیصAuthenticationAuthentication

لغت لغت ریشه درست ((AuthenticAuthentic))ریشه معتبر، درست صحیح، معتبر، صحیح، کامپیوتری امنیت شاخه در کامپیوتری مفهوم امنیت شاخه در Computer Computer))مفهوم

SecuritySecurity)) وب در وب اعتمادسازی در ((Web TrustWeb Trust))اعتمادسازیAuthorizationAuthorization) متفاوت ) حال عین در و (شبیه متفاوت ) حال عین در و شبیه

هویت دهنده تشخیص هویت خدمتگزاران دهنده تشخیص خدمتگزاران ((Authentication ServersAuthentication Servers))

هویت تشخیص سیستمهای از که هستند هویت خدمتگزارانی تشخیص سیستمهای از که هستند خدمتگزارانی. میکنند استفاده ها سیستم سایر و کاربران .برای میکنند استفاده ها سیستم سایر و کاربران برای

خدمتگزار این توسط خدمتگزاران سایر و خدمتگزار کاربران این توسط خدمتگزاران سایر و کاربران. میکنند دریافت رمزشده عبور های بلیط و شده .شناسایی میکنند دریافت رمزشده عبور های بلیط و شده شناسایی

هویت شناسایی برای آنها میان دوباره بعدا بلیطها هویت این شناسایی برای آنها میان دوباره بعدا بلیطها این. میشود .ردوبدل میشود ردوبدل

: میباشد زیر کلیدی مفهوم سه اصلی پایه هویت :تشخیص میباشد زیر کلیدی مفهوم سه اصلی پایه هویت تشخیصAuthorizationAuthorization) دادن ) (اجازه دادن ) اجازهPrivacyPrivacy) تنهایی ) و (خلوت تنهایی ) و خلوتNon-RepudiationNon-Repudiation) (انکارناپذیری ) انکارناپذیری )

هویت دهنده تشخیص هویت خدمتگزاران دهنده تشخیص (خدمتگزاران (ادامه) ادامه)

((Authentication ServersAuthentication Servers))

: اساسی های :الگوریتم اساسی های الگوریتم عبور رمز تشخیص های عبور الگوریتم رمز تشخیص های الگوریتمKerberosKerberos عمومی کلید با رمزگذاری های عمومی الگوریتم کلید با رمزگذاری های الگوریتم

دادن دادن اجازه اجازهAuthorizationAuthorization

( از قسمتی از ) تعریف قسمتی (OSOSتعریف میکند محافظت رایانه منابع از (که میکند محافظت رایانه منابع از که) ها ) کارایی و افراد ها، برنامه داده، ای رایانه (منابع ها ) کارایی و افراد ها، برنامه داده، ای رایانه منابع با با رابطه AuthenticationAuthenticationرابطهGuest or AnonymousGuest or Anonymous((Access Control ListAccess Control List ) )Admin Authorized UsersAdmin Authorized Users ( محدودیت بدون و شده توزیع های محدودیت )سیستم بدون و شده توزیع های & key & keyسیستم

ticketstickets)) :مثال: مثالAccess ControlAccess Control

ATMATM اینترنتی بانکی سیستم از اینترنتی استفاده بانکی سیستم از استفاده رایانه یک دور راه از رایانه کنترل یک دور راه از کنترل

دسترسی دسترسی کنترل کنترل((Access ControlAccess Control))

جا یک به ورود محدودیت جا کاربرد یک به ورود محدودیت کاربرد خروجی و ورودی خروجی کنترل و ورودی کنترلACAC: شامل شبکه :درامنیت شامل شبکه درامنیت

هویت هویت تشخیص تشخیص دسترسی اجازه دسترسی تشخیص اجازه تشخیص( رکورد یک به دسترسی مراتب سلسله رکورد )بازرسی یک به دسترسی مراتب سلسله ((Audit TrailAudit Trailبازرسی فیزیکی فیزیکی ابزار ابزارEncryption, Digital SignaturesEncryption, Digital Signatures…,…,

دسترسی اجازه کنترل سیستم سازی دسترسی پیاده اجازه کنترل سیستم سازی پیادهMandatory Access ControlMandatory Access ControlDiscretionary Access ControlDiscretionary Access Control( مدار نقش دسترسی مدار )کنترل نقش دسترسی ((Role-Based Access ControlRole-Based Access Controlکنترل دسترسی کنترل دسترسی لیست کنترل لیستXACMLXACML ) )eXtensible Access Control Markup LanguageeXtensible Access Control Markup Language ((

MAC & DACMAC & DACMACMAC

سیستم سیستم ابزار ابزار شده ساخته اشیاء کامل کنترل امکان شده عدم ساخته اشیاء کامل کنترل امکان عدم محدودیت از بیشتر یا مساوی محدودیت محدودیتی از بیشتر یا مساوی AdminAdminمحدودیتی تلفیق از الیه چند امنیتی های سیستم تلفیق در از الیه چند امنیتی های سیستم معماری FLASKFLASK با با MACMACدر یک عنوان معماری به یک عنوان به

. میشود استفاده .کارا میشود استفاده کاراFlFlux ux AAdvanced dvanced SSecurity ecurity kkernel )Flask(ernel )Flask(

با • سیستم منابع به را امن و کارا دسترسی که عامل سیستم برای امنیتی معماری با یک سیستم منابع به را امن و کارا دسترسی که عامل سیستم برای امنیتی معماری یک. میشود سبب موجود قوانین .رعایت میشود سبب موجود قوانین رعایت

مثال:مثال:••NSA's Security-Enhanced Linux )SELinux(NSA's Security-Enhanced Linux )SELinux(•TrustedBSDTrustedBSD

DACDAC فایل فایل سیستم سیستم شده ساخته منابع به نامحدود دسترسی دادن شده امکان ساخته منابع به نامحدود دسترسی دادن امکان اجازه بدون دسترسی اجازه ریسک بدون دسترسی ریسک

مدار نقش دسترسی مدار کنترل نقش دسترسی کنترل((Role-Based Access ControlRole-Based Access Control))

RBACRBAC با با متفاوت DACDACو و MACMACمتفاوت آنها تخصیص و ها نقش آنها ایجاد تخصیص و ها نقش ایجاد

UU( مامور = = یک یا شخص یک )کاربر مامور = = یک یا شخص یک اتوماتیک( اتوماتیک( AgentAgentکاربرRR. میکند = = / مشخص را اجازه سطح که عبارتی کارکرد .نقش میکند = = / مشخص را اجازه سطح که عبارتی کارکرد نقشPP. منبع = = یک به دسترسی حالت یک تایید ها .اجازه منبع = = یک به دسترسی حالت یک تایید ها اجازهSS = = SessionSession = حاوی ، کلیت حاوی = یک ، کلیت UUیک ، ، RR و و ، ،PP..UAUA = کاربران وظایف و ها کارکرد از ای کاربران = مجموعه وظایف و ها کارکرد از ای مجموعهPAPA = دسترسی های اجازه از ای دسترسی = مجموعه های اجازه از ای مجموعهRHRH = ها نقش مراتب ها = سلسله نقش مراتب سلسله. باشد داشته نقش چندین میتواند کاربر .یک باشد داشته نقش چندین میتواند کاربر یک. باشد کاربر چندین به متعلق میتواند نقش .یک باشد کاربر چندین به متعلق میتواند نقش یک. باشد داشته متعددی های اجازه میتواند نقش .یک باشد داشته متعددی های اجازه میتواند نقش یک. شود داده نقش چندین به میتواند خاص اجازه .یک شود داده نقش چندین به میتواند خاص اجازه یک

مدار نقش دسترسی مدار کنترل نقش دسترسی (کنترل (ادامه) ادامه)

((Role-Based Access ControlRole-Based Access Control))

PA=PxRPA=PxR) تساوی ) یا (زیرمجموعه تساوی ) یا زیرمجموعهUA=UxRUA=UxR) تساوی ) یا (زیرمجموعه تساوی ) یا زیرمجموعهRHRH( ( xx >> yy یعنی یعنیxx های اجازه های تمام اجازه ارث yyتمام به ارث را به را

) است (برده است برده: کاربر کاربر :یک یک

چند چندSessionSession نقش و اجازه مدل نقش چندین و اجازه مدل چندین

دسترسی کنترل دسترسی لیست کنترل لیست((Access Control ListAccess Control List))

ACLACL) جدول ) یک مثل ای داده ساختار (یک جدول ) یک مثل ای داده ساختار یک((ACEACE ) )Access Control EntriesAccess Control EntriesACLACL در درOSOS مختلف مختلف های های

OpenBSD/NetBSDOpenBSD/NetBSD :: systracesystrace : :SolarisSolaris TrustedSolarisTrustedSolarisACL : MAC OS X & LinuxACL : MAC OS X & Linux

پیچیدگیپیچیدگی. نیست کمال و .تمام نیست کمال و تمام

هویت تشخیص کلی هویت روشهای تشخیص کلی روشهای( . میباشد کاربر که آنچه به مربوط . )مسایل میباشد کاربر که آنچه به مربوط ((isisمسایل

انگشت انگشت اثر اثرDNADNARetinalRetinal) چشم ) شبکیه طریق از (شناخت چشم ) شبکیه طریق از شناخت

( . دارد کاربر که آنچه به مربوط . )مسایل دارد کاربر که آنچه به مربوط ((hashasمسایل شناسایی شناسایی کارت کارت افزاری نرم یا امنیتی افزاری نشان نرم یا امنیتی نشانموبایلموبایل

( . میداند کاربر که آنچه به مربوط . )مسایل میداند کاربر که آنچه به مربوط ((knowsknowsمسایل(کلمه)کلمهWordWord( )عبارت عبارت( )یا عبور( عبور( PhrasePhraseیا( شخصی شناسایی شخصی )شماره شناسایی ((PINPINشماره

( ترکیب( ترکیبTwo FactorTwo Factor))

هویت تشخیص هویت روشهای تشخیص (روشهای (ادامه) ادامه)

Challenge Response AuthenticationChallenge Response Authentication( پنهان پنهان )روشهای ((CryptographicCryptographicروشهای

•Public Key CryptographyPublic Key Cryptography دیجیتال دیجیتال امضای امضایPublic-Key EncryptionPublic-Key Encryption

Challenge Response Challenge Response AuthenticationAuthentication) جواب) و سوال هویت (تشخیص جواب) و سوال هویت تشخیص

غیر های غیر تکنیک های CryptographicCryptographic( ( No InternetNo Internet))تکنیکPasswordPasswordCaptchaCaptcha ))to tell to tell ccomputers omputers hhumans umans aapartpart TTuring testuring test ppublicublic aautomatedutomated ccompletelyompletely((

Challenge Response Challenge Response AuthenticationAuthentication ) (ادامه) ادامه)

) جواب ) و سوال هویت (تشخیص جواب ) و سوال هویت تشخیص

های های تکنیک CryptographicCryptographicتکنیکخطرخطر

•EavesdroppingEavesdropping ) )Man-in-the-middleMan-in-the-middle((•Dictionary AttackDictionary Attack•Brute-force AttackBrute-force Attack

هویت هویت تشخیص (22تشخیص واضح ) ارسال بدون (طرفه واضح ) ارسال بدون طرفه گرفتن و عبور کلمه بوسیله شده رمز تصادفی داده یک گرفتن فرستادن و عبور کلمه بوسیله شده رمز تصادفی داده یک فرستادن

آن به مربوط شده رمز آن پاسخ به مربوط شده رمز پاسخ•KerberosKerberos : صحیح صحیح : عدد صحیح ← NNعدد صحیح ← عدد N+1N+1عدد

Hash Based CRAHash Based CRAHashed Storage Of Passwords CRAHashed Storage Of Passwords CRA

Challenge Response Challenge Response AuthenticationAuthentication ) (ادامه) ادامه)

) جواب ) و سوال هویت (تشخیص جواب ) و سوال هویت تشخیص

از دیگر مثال از چند دیگر مثال : :CRACRAچند Zero-Knowledge Password Proof )ZKPP(Zero-Knowledge Password Proof )ZKPP(

در) آن، به اشاره بدون عبور کلمه دانستن در) اثبات آن، به اشاره بدون عبور کلمه دانستن اثباتیا و دوم طرف نمیخواهد کننده اثبات که یا مواقعی و دوم طرف نمیخواهد کننده اثبات که مواقعی

). شود مطلع عبور کلمه محتوی از دیگری کس .(هیچ شود مطلع عبور کلمه محتوی از دیگری کس هیچKey Agreement SystemsKey Agreement Systems

•SSH )Secure Shell( based on RSASSH )Secure Shell( based on RSA ناامن های محیط در شده رمزگذاری ارتباطات برقراری ناامن امکان های محیط در شده رمزگذاری ارتباطات برقراری امکان

ناامن HostHostمیان میان ناامن های های

دیجیتال دیجیتال امضای امضای((Digital SignitureDigital Signiture))

دیجیتالی دیجیتالی نمود نمود قطعی اطمینان ایجاد قطعی عدم اطمینان ایجاد عدم عمومی کلید بر عمومی مبتنی کلید بر مبتنی33 الگوریتم الگوریتم

Key GenerationKey GenerationSigningSigningVerificationVerification

الگوریتم محصول دیجیتال الگوریتم امضای محصول دیجیتال SigningSigningامضای

دیجیتال دیجیتال امضای (امضای (ادامه) ادامه)

((Digital SignitureDigital Signiture))

بوسیله او ، میکند ارسال ای نامه حمید به بوسیله علی او ، میکند ارسال ای نامه حمید به علی ، امضا الگوریتم نیز و خود خصوصی ، کلید امضا الگوریتم نیز و خود خصوصی کلید

دودویی عدد یک صورت به که را خود دودویی امضای عدد یک صورت به که را خود امضای. میکند ارسال حمید برای نامه همراه به .است میکند ارسال حمید برای نامه همراه به است

و عمومی کلید کمک به و گرفته را نامه و حمید عمومی کلید کمک به و گرفته را نامه حمیدعلی امضای ازصحت خود تشخیص علی الگوریتم امضای ازصحت خود تشخیص الگوریتم

. میشود . مطمئن میشود مطمئن آسانتر نیز و پیغام شدن کوتاهتر برای آسانتر علی نیز و پیغام شدن کوتاهتر برای علی

یک بوسیله ، پروسه یک شدن بوسیله ، پروسه Hashing AlgorithmHashing Algorithmشدن. میکند رمزگذاری را خود .پیغام میکند رمزگذاری را خود پیغام

Directory ServersDirectory Servers

که که خدمتگزارانی را را Directory ServicesDirectory Servicesخدمتگزارانی. میدهند .ارائه میدهند ارائه

Directory ServicesDirectory Services

افزارها نرم از ای مجموعه یا افزار افزارها نرم نرم از ای مجموعه یا افزار نرم ها داده کننده ها ذخیره داده کننده ذخیره

کامیوتری های کامیوتری شبکه های شبکهکاربرانکاربران ها شده گذاشته اشتراک ها به شده گذاشته اشتراک به

ها شده گذاشته اشتراک به دسترسی ها مدیریت شده گذاشته اشتراک به دسترسی مدیریت ها شده گذارده اشتراک به و کاربران میان ها واسط شده گذارده اشتراک به و کاربران میان واسط و آنها ارتباط و منابع هویت شناسایی و امکان آنها ارتباط و منابع هویت شناسایی امکان

امن صورتی به آنه امن مدیریت صورتی به آنه مدیریت

Directory ServicesDirectory Services) (ادامه) ادامه)

و اشیاء از بسیاری به شده توزیع دسترسی و امکان اشیاء از بسیاری به شده توزیع دسترسی امکانمختلف صفات و ها ویژگی با شده ذخیره های مختلف داده صفات و ها ویژگی با شده ذخیره های داده

ارائه خدمتگذاران سایر روی اطالعات این ارائه تبادل خدمتگذاران سایر روی اطالعات این تبادلDirectory ServicesDirectory Servicesدهنده دهنده

و فیزیکی مکان به منابع ای شبکه آدرس و نگاشتن فیزیکی مکان به منابع ای شبکه آدرس نگاشتنآنان آنان اسم اسم

. هستند شیء .منابع هستند شیء منابع. است آنان صفات منابع داخل .اطالعات است آنان صفات منابع داخل اطالعات نیازمند و امن صفات این به نیازمند دسترسی و امن صفات این به دسترسی

AuthorizationAuthorization و وAuthenticationAuthentication. .است است

Directory ServicesDirectory Services) (ادامه) ادامه)

تعریف تعریفnamespacenamespace شبکه شبکه برای برای در درLDAPLDAP به به((Distinguished NamesDistinguished Names)) DNDN

میگوییم.میگوییم.

LDAPLDAP))Lightweight Directory Access Protocol)Lightweight Directory Access Protocol)

و اصالح برای ای شبکه استاندارد و یک اصالح برای ای شبکه استاندارد یکبر بر نظارت Directory ServicesDirectory Servicesنظارت

جستجو و کردن روز به برای جستجو پروتکلی و کردن روز به برای پروتکلیروی ها پوشه روی کردن ها پوشه TCP/IPTCP/IPکردن

) (ادامه) LDAPLDAPادامه)))Lightweight Directory Access Protocol)Lightweight Directory Access Protocol)

:اعمال:اعمالBindBind :ورژن کردن مشخص و هویت ورژن: تشخیص کردن مشخص و هویت تشخیص

LDAPLDAP پروتکلپروتکلSearchSearch :ها پوشه های داده بازیابی یا و ها: جستجو پوشه های داده بازیابی یا و جستجوCompareCompare :ورودی یک اینکه کردن ورودی: امتحان یک اینکه کردن امتحان

. دارد را موردنظر مقدار شده .نامگذاری دارد را موردنظر مقدار شده نامگذاریAddAdd :جدید ورودی یک کردن جدید: اضافه ورودی یک کردن اضافهDeleteDelete :ورودی یک کردن ورودی: پاک یک کردن پاک


: اعمال :ادامه اعمال ادامهModifyModify :ورودی یک ورودی: اصالح یک اصالحModify DNModify DN :ورودی یک دادن نام تغییر یا کردن ورودی: پاک یک دادن نام تغییر یا کردن پاکStart TLSStart TLS :کمک به ارتباط از کردن کمک: محافظت به ارتباط از کردن محافظت

Transport Layer SecurityTransport Layer Security ) )TLSTLS(( AbandonAbandon :درخواست کردن درخواست: رد کردن ردExtended OperationExtended Operation :سایر تعریف برای سایر: عملیاتی تعریف برای عملیاتی

عملیاتعملیاتUnbindUnbind :برعکس ارتباط، برعکس: بستن ارتباط، .bindbindبستن .نیست نیست


DirectoryDirectory : های ورودی از های : درختی ورودی از DirectoryDirectoryدرختی( ورودی( ورودیEntryEntry : )صفات از ای صفات( : مجموعه از ای مجموعه( صفت )هر صفت .AttributeAttributeهر دارد( اسم .یک دارد( اسم یک : دارد اسم یک ورودی دارد : هر اسم یک ورودی )DN )Distinguished Name(DN )Distinguished Nameهر فرمت در ورودی یک فرمت شکل در ورودی یک : :LDIFLDIFشکل

dndn: : cncn==John Doe,ou=people,dcJohn Doe,ou=people,dc==example,dcexample,dc==comcomcncn: : John DoeJohn DoegivenNamegivenName: : JohnJohn snsn: : DoeDoe telephoneNumbertelephoneNumber: : +1 555 6789+1 555 6789 telephoneNumbertelephoneNumber: : +1 555 1234+1 555 1234 mailmail: : john@[email protected] objectClassobjectClass: : inetOrgPersoninetOrgPerson objectClassobjectClass: : organizationalPersonorganizationalPerson objectClassobjectClass: : personperson objectClassobjectClass: : toptop


C:/program files/putty/Putty.exeC:/program files/putty/[email protected]@ce.sharif.edu


Ldapp + 2 tabsLdapp + 2 tabs


cncn==common namecommon namedndn::uiduid==mousavi,oumousavi,ou==people,dcpeople,dc==ce,dcce,dc==sharif,dcsharif,dc==edueduLdapp toolsLdapp tools

LdappsearchLdappsearchLdappaddLdappaddLdappmodifyLdappmodifyLdappdeleteLdappdeleteldappasswdldappasswdLdapwhoamiLdapwhoamiLdapcompareLdapcompare


--nn : دستورات سازی دستورات : شبیه سازی شبیه--xx : ساده هویت ساده : تشخیص هویت تشخیصLLLLLL : با مطابق خروجی با : فرمت مطابق خروجی LDIFLDIFفرمت--DD : موجودیت کدام موجودیت : با کدام :BindBindبا :شود شود

''uid=mousavi,ou=people,dc=ce,dc=sharif,dc=eduuid=mousavi,ou=people,dc=ce,dc=sharif,dc=edu‘‘ -D-D

--WW : عبور رمز کردن عبور : وارد رمز کردن وارد--bb( )پایه : :BaseBaseپایه : میکند( مشخص :را میکند( مشخص را' ' ou=groups,dc=ce,dc=sharif,dc=eduou=groups,dc=ce,dc=sharif,dc=edu -b-b


LdapserachLdapserach ها آرگومان از ها برخی آرگومان از برخی

•DNDN•Scope-base )-b(Scope-base )-b(•FilterFilter

ldapsearch -xLLL -b 'ou=groups,dc=ce,dc=sharif,dc=edu' ldapsearch -xLLL -b 'ou=groups,dc=ce,dc=sharif,dc=edu' 'gidNumber'gidNumber‘‘

ldapsearch -xLLL -b 'ou=people,dc=ce,dc=sharif,dc=edu' ldapsearch -xLLL -b 'ou=people,dc=ce,dc=sharif,dc=edu' 'gidNumber=1006'gidNumber=1006‘‘

ldapsearch -xLLL -b 'ou=people,dc=ce,dc=sharif,dc=edu' ldapsearch -xLLL -b 'ou=people,dc=ce,dc=sharif,dc=edu' 'gidNumber=1006' 'uidNumber'gidNumber=1006' 'uidNumber''


LpaddLpaddldapadd ldapadd --x x --D 'uidD 'uid==mousavi,oumousavi,ou==people,dcpeople,dc==ce,dcce,dc==sharif,dcsharif,dc==edu' edu' --W W --f af a..ldifldif

LDIF FILE )add.ldif(LDIF FILE )add.ldif(::dn: uid=mousavi,ou=People,dc=ce,dc=sharif,dc=edudn: uid=mousavi,ou=People,dc=ce,dc=sharif,dc=edu

uid: mousaviuid: mousavicn: Agh Vahidcn: Agh Vahid

objectClass: accountobjectClass: accountobjectClass: posixAccountobjectClass: posixAccount

objectClass: topobjectClass: topobjectClass: shadowAccountobjectClass: shadowAccount

objectClass: sambaSamAccountobjectClass: sambaSamAccountshadowLastChange: 12347shadowLastChange: 12347


shadowMax: 99999shadowMax: 99999shadowWarning: 7shadowWarning: 7

loginShell: /bin/bashloginShell: /bin/bashhomeDirectory: /home/bs81/mousavihomeDirectory: /home/bs81/mousavi

gecos: Agh Vahidgecos: Agh VahidsambaLogonTime: 0sambaLogonTime: 0

sambaLogoffTime: 2147483647sambaLogoffTime: 2147483647sambaKickoffTime: 2147483647sambaKickoffTime: 2147483647

sambaPwdMustChange: 2147483647sambaPwdMustChange: 2147483647sambaSID: S-1-5-21-2004343368-2831367967-3069035597-sambaSID: S-1-5-21-2004343368-2831367967-3069035597-

24002400gidNumber: 1006gidNumber: 1006

sambaPwdCanChange: 1122807645sambaPwdCanChange: 1122807645


sambaPasswordHistory: sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

00000000000000 0000000000000000

sambaPwdLastSet: 1122807645sambaPwdLastSet: 1122807645sambaAcctFlags: [U ]sambaAcctFlags: [U ]

sambaLMPassword: sambaLMPassword: 5E8EEAF5F54658CCAAD3B435B51404EE5E8EEAF5F54658CCAAD3B435B51404EE

sambaNTPassword: 40AA64594587A99EA91519B1A477F618sambaNTPassword: 40AA64594587A99EA91519B1A477F618userPassword:: userPassword::

e2NyeXB0fSQxJHh1eGJ5aS42JFd5N2VxSlU4bEVvOWx4aHe2NyeXB0fSQxJHh1eGJ5aS42JFd5N2VxSlU4bEVvOWx4aHRHUWNNTjERHUWNNTjE==

displayName: 81174903 - Mousavi.Vahid RezadisplayName: 81174903 - Mousavi.Vahid RezauidNumber: 81174903uidNumber: 81174903


[[mousavi@shell ~mousavi@shell ~]]$ ldapadd $ ldapadd --x x --n -W n -W --f addf add..ldifldifEnter LDAP PasswordEnter LDAP Password:: ******* *******mousavi@shell ~mousavi@shell ~]]$$!!adding new entry adding new entry

""uiduid==mousavi,oumousavi,ou==People,dcPeople,dc==ce,dcce,dc==sharif,dcsharif,dc==eduedu""


LdapmodifyLdapmodifyldapmodify -x -D ‘ ….' -W -f modify.ldifldapmodify -x -D ‘ ….' -W -f modify.ldif

LDIF FILE LDIF FILE ))modifymodify..ldifldif(( : :dndn: : cncn==Modify Me,dcModify Me,dc==example,dcexample,dc==comcomchangetypechangetype: : modifymodifyreplacereplace: : mailmailmailmail: : modme@[email protected]: : titletitletitletitle: : Grand PoobahGrand Poobah--addadd: : jpegPhotojpegPhotojpegPhotojpegPhoto::< file< file:///:///tmptmp//modmemodme..jpegjpeg--deletedelete: : descriptiondescription

--


LdapwhoamiLdapwhoami آن با که کسی کردن آن مشخص با که کسی کردن .BindBindمشخص ایم .شده ایم شده

: من :مشخصات من مشخصاتldapwhoami ldapwhoami --x x ––D 'uidD 'uid==mousavi,oumousavi,ou==people,dcpeople,dc==ce,dcce,dc==sharif,dcsharif,dc==edu' edu' ––WW

: ناشناس طور به :مشخصات ناشناس طور به مشخصاتLdapwhoami –x=AnonymousLdapwhoami –x=Anonymous

Kerberos ProtocolKerberos Protocol

بر بر مبتنی :22مبتنی :خدمتگزار خدمتگزار Ticket-Granting Server Ticket-Granting Server ))TGSTGS((Authentication ServerAuthentication Server ) )ASAS((

Kerberos ProtocolKerberos Protocol) (ادامه) ادامه)

: عملکرد :شیوه عملکرد شیوهروی passwordpasswordو و usernameusernameکاربر کاربر 1.1. روی را .clientclientرا میکند .وارد میکند وارد

.2.2ClientClient ریتم الگو ریتم یک الگو روی hashhashیک را طرفه روی یک را طرفه از passwordpasswordیک و میکند از اجرا و میکند اجراعنوان به عمل این حاصل بعد به عنوان این به عمل این حاصل بعد به به secret keysecret keyاین به مربوط در در clientclientمربوط

. میشود گرفته .نظر میشود گرفته نظر

.3.3ClientClient ( ارسال بدون درخواست ارسال ) یک بدون درخواست به ( (passwordpasswordیک به را خدمتگزار ) خدمتگزار ) ASASرا) هویت (تشخیص هویت . تشخیص میکند .ارسال میکند ارسال


.4.4ASAS آیا که میکند آیا چک که میکند داشت DBDBدر در ClientClientچک وجود اگر نه، یا دارد داشت وجود وجود اگر نه، یا دارد وجود:22این این میفرستد را :پیغام میفرستد را پیغام

حاوی 1.1. حاوی پیغام بوسیله Client/TGS Session KeyClient/TGS Session Keyپیغام کاربر بوسیله که کاربر Secret KeySecret Keyکه. شده .رمزگذاری شده رمزگذاری

حاوی 2.2. حاوی پیغام Client IDClient IDحاوی ) حاوی ) Ticket-Granting TicketTicket-Granting Ticket پیغام ، ، Network Network AddressAddress ، ، Validity PeriodValidity Period ، ، Client/TGS Session KeyClient/TGS Session Key )بوسیله بوسیله( کاربرکه کاربرکه

Secret KeySecret Key در در موجود .TGSTGSموجود شده .رمزگذاری شده رمزگذاری

این 5.5. دریافت از این پس دریافت از آوردن clientclient، ، 22پس بدست برای را اول آوردن پیغام بدست برای را اول پیغامClient/TGS session IDClient/TGS session ID با ارتباط برای که میکند با رمزگشایی ارتباط برای که میکند به به TGSTGSرمزگشایی

. نداشتن دلیل به البته میرود . کار نداشتن دلیل به البته میرود ، ، secret keysecret key TGSTGSکار clientclient که که نمیتواند نمیتواند. 22پیغام پیغام حاال کند رمزگشایی . را حاال کند رمزگشایی با clientclientرا که با میتواند که بر TGSTGSمیتواند بر ارتباط ارتباط

. کند .قرار کند قرار


که 6.6. که وقتی میکند clientclientوقتی درخواست را سرویس میکند یک درخواست را سرویس به 22یک را به پیغام را TGSTGSپیغاممیفرستد:میفرستد:

از 3.3. از ترکیبی مورد Ticket-Granting TicketTicket-Granting Ticketترکیبی درخواست شناسه و دوم پیغام مورد در درخواست شناسه و دوم پیغام درنظر.نظر.

از ) 4.4. ترکیبی دهنده هویت از ) تشخیص ترکیبی دهنده هویت بوسیله ( client IDclient IDتشخیص که زمانی های شناسه بوسیله ( و که زمانی های شناسه وClient/TGS session KeyClient/TGS session Key. است شده .رمزگذاری است شده رمزگذاری

این 7.7. دریافت از این پس دریافت از بوسیله 33پیغام پیغام TGSTGSپیام پیام 22پس بوسیله را client/TGS session client/TGS sessionراkeykey این و میکند این رمزگشایی و میکند به 22رمزگشایی را به پیغام را :clientclientپیغام :میفرستد میفرستد

.6.6Client-to-server ticketClient-to-server ticket ( شناسه از شناسه ) متشکل از و clientclientمتشکل آن آدرس و ، آن آدرس ،validity validity periodperiod )بوسیله بوسیله( راکه شده .secret keysecret keyراکه رمزگذاری نظر مورد شده .سرویس رمزگذاری نظر مورد سرویس

.7.7Client/Server session keyClient/Server session key بوسیله بوسیله که رمزگذاری رمزگذاری Client/TGS session keyClient/TGS session keyکه. است .شده است شده


این 8.8. از این پس از به clientclientپس را خود که دارد را امکان به این را خود که دارد را امکان ))Service ServerService Server ) )SSSSاین:22بوسیله بوسیله کند معرفی :پیغام کند معرفی پیغام

.7.7Client-to-server ticketClient-to-server ticket بوسیله بوسیله که نظر Secret KeySecret Keyکه مورد خدمت به نظر مربوط مورد خدمت به مربوط. است شده .رمزگذاری است شده رمزگذاری

بوسیله 8.8. که جدید دهنده هویت تشخیص بوسیله یک که جدید دهنده هویت تشخیص client/server session keyclient/server session keyیک. است شده .رمزگذاری است شده رمزگذاری

از ticketticketسرور سرور 9.9. استفاده با را نظر از مورد استفاده با را نظر رمزگشایی secret keysecret keyمورد رمزگشایی خودش خودش: میکند ارسال آن بودن درست بر مبنی پیغام یک و :کرده میکند ارسال آن بودن درست بر مبنی پیغام یک و کرده

توسط time stamptime stampرمزشده رمزشده 8.8. یک بعالوه اخیر دهنده تشخیص در توسط موجود یک بعالوه اخیر دهنده تشخیص در موجودclient/server session keyclient/server session key..


.10.10ClientClient سرور به اش شده گذاشته اشتراک به کلید بوسیله را سرور پیغام به اش شده گذاشته اشتراک به کلید بوسیله را پیغامبه توجه با و کرده به رمزگشایی توجه با و کرده اگر time stamptime stampرمزگشایی و میکند چک را آن اگر خود و میکند چک را آن خود

به بود به درست بود . درست میکند درخواست آن از و کرده اعتماد .سرور میکند درخواست آن از و کرده اعتماد سرور

های 11.11. درخواست به های سرور درخواست به .clientclientسرور میدهد .جواب میدهد جواب

منابعمنابع

http://www.microsoft.comhttp://www.microsoft.comhttp://www.wikipedia.comhttp://www.wikipedia.comhttp://wwwhttp://www..cscs..fsufsu..edueduhttp://www.redhat.comhttp://www.redhat.comhttp://www.bind9.net/ldap/http://www.bind9.net/ldap/Linux Os Manual )man command(Linux Os Manual )man command(

Authentication Servers سرورهای تشخیص هویت

Documents

Transcript of Authentication Servers سرورهای تشخیص هویت