В завершение разговора об аутентификации давайте посмотрим, как выглядит процедура аутентификации пользователя на сервере аутентификации.
1. Пользователь обращается к серверу, посылая службе аутентификации. Для подтверждения своей личности пользователь вводит
те или иные идентификационные данные.
2. Сервер пользователя и возвращает билет или
удостоверение. Удостоверение обычно сохраняется в электронном
бумажнике пользователя, расположенном в локальном или централизованном сетевом каталоге. Билет может содержать дату и/или
удостоверение. Удостоверение обычно сохраняется в электронном
бумажнике пользователя, расположенном в локальном или централизованном сетевом каталоге. Билет может содержать дату и/или
время истечения срока действия.
1. Когда пользователь запрашивает соединение с базой данных Oracle, | его удостоверение передается серверу Oracle.
Сервер Oracle посылает это удостоверение серверу аутентификации, чтобы проверить его достоверность.
Если сервер аутентификации признал удостоверение действительным, сервер Oracle получает соответствующее уведомление.
Если удостоверение действительно, сервер Oracle выполняет запрос. В противном случае доступ клиента к базе данных запрещается.
Аутентификация и авторизация
сих пор мы рассматривали способы, которыми можно удостоверить личность. Однако из того факта, что пользователь успешно прошел аутентификацию, еще не следует, что у него есть право на доступ к определенному серверу или базе данных. Даже если пользователь подтвердит свое право на доступ к системе, необходимо определить, какую информацию ему будет разрешено просматривать, модифицировать или удалять.
В Oracle8i существуют стандартные средства для управления доступом пользователей к данным — роли и привилегии. Однако они могут быть существенно расширены за счет использования методов аутентификации, поддерживаемых пакетом Oracle Advanced Security. Например, на платформе Solaris поддерживается авторизация в среде распределенных вычислений (DCE). DCE считается трудной для администрирования, и это действительно так. Но ее средства безопасности исключительно надежны, и по этой причине она совместно с Enema, во многих банковских системах.
В главе 5 было рассказано об упрощенном протоколе доступа к каталогу (LDAP) и его реализации в Интернет-каталоге Oracle. Поскольку средства Oracle Advanced Security допускают интеграцию с каталогами, совместимыми с LDAP версии 3, вы можете использовать лог Oracle для хранения данных о пользователях и правах доступа. При этом необходимо понимать, какие лицензионные ограничения накладываются на совместное двух продуктов. Одни аспекты охватываются одиночной лицензией, другие — нет.
| < Предыдущая | Следующая > |
|---|
