DeepEdit!

Программирование баз данных на Oracle, техническая документация, литература, статьи и публикации

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Профиль усовершенствованных средств безопасности Oracle

В Oracle 8i, Release 2 предусмотрена поддержка многих адаптеров аутентификации, разработанных независимыми производителями. Но что такое адаптер аутентификации? Чтобы ответить на этот вопрос, не слишком вдаваясь в подробности, подумаем о том, каким образом можно доказать, что вы — это действительно вы. Когда вы подходите к кому-нибудь на вечеринке, обычно говорите: "Привет, меня зовут ... " и называете свое имя. Как правило, этого бывает достаточно, и ваш собеседник не задает дополнительных вопросов. Но если вы первый раз получаете водительское удостоверение, то потребуются более веские доказательства, что вы действительно тот, за кого себя выдаете. Одних слов здесь недостаточно. Необходимо показать свидетельство о рождении или другой документ, удостоверяющий личность. Получив водительское удостоверение, вы сможете использовать его в качестве такого документа, хотя и не во всех случаях. Чтобы поехать в другую страну, вам нужно взять свидетельство о рождении, две фотографии и подать заявление на получение паспорта. При наличии паспорта вы можете путешествовать по всему миру. Паспорт служит доказательством, что вы—это вы.
Но как вы удостоверите свою личность в разговоре по телефону? Как правило, для этого вам потребуется сообщить специфическую информацию, например девичью фамилию матери или свой номер социального страхования вместе с адресом и телефоном. На другом конце провода вас не видят, но знают, какими должны быть ответы. Если вы делаете покупку по телефону, то оператор обычно спрашивает номер кредитной карты, дату окончания ее действия, а также ваше имя и адрес.
Когда вам нужно аутентифицировать себя при работе на компьютере, ситуация усложняется. Для решения этой задачи используется ряд программных продуктов, называемых в Net8 методами. К ним относятся Kerberos, CyberSafe, SecurlD, RADIUS, Identix и NTS. Эти конкретные продукты перечислены здесь, поскольку они поддерживаются Oracle и могут конфигурироваться в разделе профиля, обозначенном как Oracle Advanced Security.
К разделу Oracle Advanced Security относятся вкладки Authentication (Аутентификация), Other Params (Прочие параметры), Integrity (Целостность), Encryption (Шифрование) и SSL. На рис. 7.16 показана первая из них,Authentication.
Всего доступно пять продуктов, один из которых выбран. Каждый продукт, или метод, имеет свой набор параметров. Все они перечислены в приложении А. Между списками доступных и выбранных методов расположены четыре управляющие кнопки: Add (>), Remove (<), Promote и Demote. Используя эти кнопки, вы можете добавлять методы и изменять порядок их расположения в списке. После выбора методов, соответствующих установленным в вашей системе продуктам, нулсно перейти ко второй вкладке, Other Params, чтобы ввести необходимые параметры. На рис. 7.17 показаны параметры службы аутентификации Kerberos(V5).

Службы Kerberos и RADIUS требуют нескольких параметров, службам NTS и SecurelD параметры не нужны, a Identix и CyberSafe требуют по одному параметру. Изучите их самостоятельно. Помните, что кнопка Help позволяет получить справку по каждому из параметров, а при необходимости вы всегда можете обратиться к документации, поставляемой с продуктами.
Вкладка Integrity, показанная на рис. 7.18, содержит два флажка, Server и Client, рядом с которыми находятся раскрывающиеся списки Checksum Level (Уровень контрольной суммы). Для чего они используются? Как вы знаете из глав 1 и 2, все пересылаемые по сети сообщения разбиваются
на фрагменты, помещаемые в пронумерованные пакеты. Заголовок каждого        содержит контрольную сумму, которая позволяет проверить, не было ли содержимое пакета искажено во время передачи. На вкладке Integrity вы можете указать, каким образом будет использоваться криптографическое контрольное суммирование, обеспечивающее дополнительный контроль целостности данных с целью защиты от подмены.
Возможные значения параметра Checksum Level и их описания приведены в таблице 7.2.
Общее правило, не отраженное в таблице 7.2, состоит в том, что во всех случаях на обоих концах соединения должны использоваться совместимые алгоритмы вычисления контрольной суммы.        что
данное условие выполнено, выясним, что будет происходить при выборе каждого из этих значений.

Таблица 7.2.
Возможные значения параметра Checksum Level для клиента и сервера
Значение      Описание
Required        Использовать службу безопасности или не устанавливать соединение.
Requested      Использовать службу безопасности, если это разрешено другой стороной.
Accepted        Использовать службу безопасности, если этого желает другая сторона.
Rejected        Не использовать службу безопасности, даже если желает другая сторона.

Во всех сценариях предполагается, что я хочу установить соединение с вашей машиной. Если у меня установлено значение Required (Требуется), а у вас — Accepted (Допускается), то соединение не будет установлено, поскольку я не просто желаю вычислять контрольную сумму, а требую
этого. Если я установлю значение Requested (Запрашивается), то соединение будет установлено, если у вас стоит значение Accepted, Requested или Required. Устанавливая у себя значение Accepted, я заявляю, что мне не нужна служба безопасности, но я буду ее использовать, если на вашей стороне установлено значение        или Requested и наши алгоритмы совпадают. Интересно, что значение Rejected (Отклоняется) работает не совсем так, как можно ожидать. Устанавливая значение Rejected, я заявляю, что не хочу использовать службу безопасности, но, несмотря на это, мне нужно установить соединение. Если вы укажете значение Required, то соединение не будет установлено. Но если вы укажете значения Requested, Accepted или Rejected, то соединение будет нормально установлено без использования службы безопасности. В главе 13 эти значения рассматриваются более подробно.
Следующая вкладка раздела Oracle Advanced Security — Encryption. Раскрывающийся список Encryption содержит два пункта: Client и Server. На рис. 7.19 выбран вариант Server. Параметр Encryption Туре (Тип шифрования) может принимать те же значения, что и параметр Checksum Level
на вкладке Integrity, а именно: accepted, rejected, required и requested.
Ключ шифрования (Encryption Seed) представляет собой случайно выбранный набор символов, на котором основано шифрование. Всего доступно пять методов шифрования. На рис. 7.19 ни один из них не выбран.

Последняя вкладка раздела Oracle Advanced Security относится к протоколу SSL (Secure Socket Layer). Этот протокол, представляющий собой промышленный стандарт, обеспечивает аутентификацию, шифрование и контроль целостности данных для клиентов и серверов. Вкладка SSL показана на рис. 7.20. По ее виду можно заключить, что достаточно выбрать одну из опций, и дело сделано. Но это не так.
После щелчка на опции Client или Server экран примет вид, показанный на рис. 7.21, и вам потребуется ввести дополнительную информацию. В данном случае щелчок произведен на опции Server.
Набор клиентских опций будет отличаться только отсутствием нижнего флажка, который показывает, требуется ли аутентификация клиента. В первую очередь необходимо указать каталог, в котором будет храниться ваш электронный бумажник (security wallet). По умолчанию устанавливаются шесть семейств шифров (sipher suites), которые будут показаны после щелчка на кнопке Add (см. рис. 7.22). Если установить флажок Show US Domestic Cipher Suites (Показать семейства шифров, доступные на территории США), то число вариантов увеличится до 13.
Раскрывающийся список Require SSL Version (Требуемая версия SSL) содержит два пункта: Any (Любая) и 3.0. Замечание, приведенное прямо над кнопкой Help, напоминает о том, что если вы собираетесь использовать SSL, то при конфигурировании прослушивающего процесса необходимо указать протокол TCP/IP с SSL.
 









jAntivirus