際際滷

際際滷Share a Scribd company logo

Verifikacija korisnika na mrezi pc

Damir Delija
Damir Delija
1 of 6
Download to read offline
15.05.1993. Damir Delija Implementacija sustava verifikacije korisnika na umre転enim osobnim raunalima Sadr転aj: U ovom radu se opisuju jedno rje邸enje sustava automatske verifikacije korisnika na umre転enim osobnim raunalima pod operacijskim sustavom MSDOS. Daju se prednosti i nedostaci navedene metode, te njena mogua pro邸irenja, usavr邸avanja i veza sa standardnim nadzornim sustavima. Kljune rijei: verifikacija, sigurnost, mre転a, personalno raunalo 0. Uvod Jedan od osnovnih problema vezanih uz osobna raunala, posebno pod operacijskim sustavom MSDOS je potpuni nedostatak sigurnosti raunala. U granicama operacijskog sustava MSDOS nemogue je postii verifikaciju korisnika i veoma je te邸ko za邸titi podatke od neovla邸tenog pristupa. Problem se jo邸 vise potencira pri vezanju raunala u mre転e naroito one koje dozvoljavaju usluge dijeljenja diskova. Da bi se izbjegli problemi vezani uz neovla邸teni pristup podacima i neovla邸teni ulazak u raunalo mogue je primijeniti razne metode programske i sklopovske za邸tite, ija efikasnost i primjena ovisi o tra転enom stupnju sigurnosti za raunalo i mre転u. Jedno od moguih programskih rje邸enja je primjena sustava verifikacije korisnika slinog sustavu operacijskog sustava UNIX, koji se ujedno prirodno nadovezuje na sustav mre転ne verifikacije korisnika ostvaren kroz NIS (engl. Network Information Service) protokol za usklaivanje datoteka koje opisuju korisnike na umre転enim raunalima. 1. Verifikacija korisnika Verifikacija korisnika je ostvarljiva na lokalnom nivou i na globalnom tj. mre転nom nivou. Lokalna verifikacija korisnika znai postojanje lokalnog procesa koji korisnika na temelju njegovog imena i verificirane lozinke uvodi u sustav ili ne. Korisnik pri tome automatski biva smje邸ten u svoje osnovno kazalo i biva pokrenuta njegova inicijala korisnika ljuska kao na standardnom UNIX sustavu. Ako je potrebno mo転e se izvr邸iti i verifikacija korisnika na mre転i putem odgovarajuih procesa. To ujedno znai da korisnik mo転e nastaviti rad i u sluaju ispada mre転e na svom lokalnom raunalu, posto njegov opis postoji u lokalnim datotekama. Ne mora se posebno spominjati da je za takav sustav potrebno i imati pouzdanu administraciju sustava i jedinstven sustav korisnikih imena koji se odr転ava bilo runo bilo putem odgovarajuih alata.
Slika 1: Primjer sustava datoteka slian UNIX operacijskom sustavu Prema navedenom postoje dakle dva stupnja verifikacije: lokalni na temelju kog korisnik ulazi u lokalo raunalo mre転ni na temelju kog korisnik pristupa uslugama mre転e i koji automatski svojom promjeno uzrokuje promjenu lokalnog. 1.1.Realizaija rje邸enja Prema preporukama i postojei de facto standardima za operacijski sustav UNIX za verifikaciju korisnika mora biti izvedena odreena struktura datoteka, kazala i programa na raunalu. Moraju postojati osnovna kazala za svakog korisnika, mora postojati datoteka sa opisom svih korisnika, komandne ljuske, login programi, te inicijalni programi (slika 1). Postupak pokretanja raunala, pristupa na mre転u, te verifikacije korisnika tee prema algoritmu prikazanom na slici 2. Pri tome se za operacijski sustav MSDOS moraju izvesti odreene specifine modifikacije datoteka CONFIG.SYS i AUTOEXEC.BAT tako da bi raunalo radilo obavilo navedenu sekvencu. Potrebno je modificirati SHELL varijablu u datoteci CONFIG.SYS kako bi inicijalni proces postao program koji vr邸i verifikaciju korisnika . pokretanje_raunala; provjera_raunala; pokretanje_mre転e; postupci_odr転avanja; Ponavljaj zauvijek poetak
unesi korisnikove ime i lozinku; Ako korisnikovo ime postoji i lozinka je u redu tada ako postoji osnovno korisnikovo kazalo tada obavi_statistiku_za_korisnika; ako je mre転a aktivna tada ako uspije verifikacija na mre転i tada pokreni osnovnu korisnikovu ljusku; odjavi_korisnika_sa_mre転e inae pokreni osnovnu korisnikovu ljusku obavi_statistiku_za_korisnika; inae obavi_statistiku_za_korisnika; kraj. Slika 2: Postupak verifikacije korisnika 2.Postupci mre転ne verifikacije Mre転na verifikacija se mo転e izvoditi na vise naina ovisno o tipu mre転e, implementaciji verifikacije na danoj mre転i, te o dostupnim programskim alatima. 2.1.Verifikacija putem komandnih procedura za korisniku ljusku Najjednostavniji nain je kori邸tenje komandnih procedura za korisnike ljuske u neinteraktivnom nainu. Takav pristup ima prednost u tome sto se mre転na verifikacija mo転e izvesti i za korisnika koji uz verifikaciju zahtijeva aktiviranje specifinih mre転ni usluga, npr., pristup diskovima, 邸tampaima i sl. Pri odjavi sa mre転e istim nainom se pojedine usluge odjavljuju slika 2.1, 2.2. Nedostatak ove metode je u postojanju komandnih procedura koje se mogu neovla邸teno itati i mijenjati posto na MSDOS-u ne postoji mogunost efikasne za邸tite datoteka. REM komandna procedura za command.com REM poziva se sa parametrima /C ime_procedure korisnik lozinka REM primjer je za SUN PCNFS sustav REM REM verificiranje korisnika %1 je korisniko ime %2 je lozinka NET NAME %1 %2
REM REM pristup mre転nim resursima, diskovima i 邸tampaima REM NET USE J: SUN:/usr/tehnika /ms NET USE I: m33:/usr/HINA /ms NET USE LPT1: tea:LN03 NET USE LPT2: tea:LN03 Slika 2.1: Tipian izgled komandne procedure za mre転nu verifikaciju korisnika i pristup odreenim mre転nim resursima. Mogua je i modifikacija ove metode tako da se komandne procedure za verificiranje na mre転i smjeste na za邸tiene mre転ne diskove odakle se svaki puta prenose na lokalni stroj ako postoji razlika izmeu kopija procedure na lokalnom stroju i one na mre転nim diskovima. Za takav pristup potrebno je modificirati algoritam verifikacije, tj. raunalo nekim postupkom mora prije verifikacije korisnika ostvariti pristup mre転nim resursima gdje su pohranjene centralne verzije komandnih procedura. REM komandna procedura za command.com REM poziva se sa parametrima /C ime_procedure REM primjer je za SUN PCNFS sustav REM REM otpu邸tanje mre転nih resursa, diskova i 邸tampaa REM NET USE J: /d NET USE I: /d NET USE LPT1: /d NET USE LPT2: /d REM REM odjava korisnika REM
NET LOGOUT Slika 2.2: Tipina procedura za odjavu korisnika sa mre転e i otpu邸tanje mre転nih resursa. Prednost ovog postupka le転i u tome sto se mo転e realizirati na mre転nom sustavu koji minimalno ima rije邸eno dijeljenje diskova, pa nisu potrebni nikakvi posebni alati ni zahvati. 2.2. Verifikacija pristupom mre転nim uslugama Verifikacija korisnika putem pristupa mre転nim uslugama mo転e se ostvariti upotrebom postojeih usluga kakav je NIS ili pak ostvarivanjem vlastitih mre転nih usluga za potrebe verificiranja korisnika. Oba pristupa zahtijevanju postojanje programskih alata i paketa koji ne dolaze sa standardnim konfiguracijama mre転nih pro邸irenja MSDOS-a, tj. moraju se imati razvojni paketi. Takav pristup ima prednosti nad pristupom putem komandnih procedura za korisniku ljusku u tome sto je mogue implementirati vlastiti dodatni sigurnosni sustav sa slo転enijim nainom provjeravanja korisnika i sto je mogu pristup standardnim bazama podataka za verifikaciju korisnika koje se opet automatski usklauju sa promjenama na cijelom umre転enom sustavu. Realizacija sustava za verifikaciju korisnika na bazi NIS protokola za raunala pod operacijskim sustavom MSDOS zahtijeva postanje bar jednog NIS pru転aoca usluge u mre転i i odgovarajue programske podr邸ke na osobnom raunalu. Pri tome se modifikacija procesa verifikacije obavlja tako da se umjesto direktnog pristupa podacima na lokalnom stroju (lokalnim informacijama o korisnicima) koriste pozivi funkcija iz biblioteka za podr邸ku NIS protokola. Te funkcije /SCO/ pristupaju prvo mre転nom pru転aocu NIS usluge i tamo verificiraju korisnika. Ako pristup mre転nom pru転aocu usluge nije mogu tek tada se korisnik verificira uz pomo lokalnih podataka. Razvoj vlastitih protokola za verifikaciju korisnika je veoma slo転en proces i nije preporuljivo poduzimati posto navedeni naini verificiranja korisnika omoguuju jednostavno uklapanje u postojee sustave. Vlastiti protokol sigurnosti ima smisla u sluaju da se razvija uz neki drugi vlastiti specifini protokol ili uslugu. Kao primjer za to se mo転e navesti razvoj mre転ne usluge za veoma specifine potrebe kao sto je npr. izvje邸tajna agencija za koju se razvija sustav za udaljeni pregled vijesti. U tom sluaju potrebno je definirati mre転nu uslugu koja to omoguuje pa se definiranje dopunskog naina verifikacije korisnika za tu uslugu ugrauje u definiciju protokola te usluge /SCO/, slika 2.3. Treba napomenuti da u tom sluaju novi protokol verifikacije obuvaa i sva ostala raunala u sustavu a ne samo osobna raunala.
Slika 2.3: Veza specifine mre転ne usluge i vlastitog protokola verifikacije korisnika 3. Zakljuak Postupci koji su opisani u ovom radu potrebni su za implementaciju verifikacije korisnika na sustavima umre転enih osobnih raunala, naroito na onim osobnim raunalima na kojima se mo転e pojaviti vise korisnika. To znai da za tzv. nesigurna osobna raunala (engl. nonsecure personal computers) mora postojati pro邸irenje sustava sigurnosti kako bi se za邸titili i korisnici i raunala i lokalno i u cijelom sustavu. Navedeni postupci su lako uvodljivi i omoguuju prihvatljiv stupanj sigurnosti za lokalne strojeve i za mre転u. Osobna raunala koja su stvarno osobna tj. za koja postoji samo jedan imenovani korisnik ne podlije転u takvim problemima posto se taj korisnik mora brinuti o raunalu, a i aplikacije za mre転nu podr邸ku su i izraene za takvu upotrebu osobnih raunala, no i na njih su navedeni postupci takoer primjenjivi. Odabir postupka verifikacije korisnika je slo転en proces vrednovanja i procjene zahtijeva sustava i usluga na njemu. Ako se odabere pogre邸an ili preslab sustav verifikacije korisnika 邸tete mogu biti nesagledive, pa je zato bolje primijeniti zahtjevniji sustav verifikacije koji e mo転da i smanjiti performansu sustava, ali e zadr転ati nivo sigurnosti sustava. 4. Literatura /RFC1094/ "NFS: Network File System Protocol Specification", Sun Microsystems, Inc, March 1989. /SCO1/ "SCO Network File System (NFS) System Administartor's Guide", Santa Cruz Operations Inc., 12 March 1991.

More Related Content

Verifikacija korisnika na mrezi pc

  • 1. 15.05.1993. Damir Delija Implementacija sustava verifikacije korisnika na umre転enim osobnim raunalima Sadr転aj: U ovom radu se opisuju jedno rje邸enje sustava automatske verifikacije korisnika na umre転enim osobnim raunalima pod operacijskim sustavom MSDOS. Daju se prednosti i nedostaci navedene metode, te njena mogua pro邸irenja, usavr邸avanja i veza sa standardnim nadzornim sustavima. Kljune rijei: verifikacija, sigurnost, mre転a, personalno raunalo 0. Uvod Jedan od osnovnih problema vezanih uz osobna raunala, posebno pod operacijskim sustavom MSDOS je potpuni nedostatak sigurnosti raunala. U granicama operacijskog sustava MSDOS nemogue je postii verifikaciju korisnika i veoma je te邸ko za邸titi podatke od neovla邸tenog pristupa. Problem se jo邸 vise potencira pri vezanju raunala u mre転e naroito one koje dozvoljavaju usluge dijeljenja diskova. Da bi se izbjegli problemi vezani uz neovla邸teni pristup podacima i neovla邸teni ulazak u raunalo mogue je primijeniti razne metode programske i sklopovske za邸tite, ija efikasnost i primjena ovisi o tra転enom stupnju sigurnosti za raunalo i mre転u. Jedno od moguih programskih rje邸enja je primjena sustava verifikacije korisnika slinog sustavu operacijskog sustava UNIX, koji se ujedno prirodno nadovezuje na sustav mre転ne verifikacije korisnika ostvaren kroz NIS (engl. Network Information Service) protokol za usklaivanje datoteka koje opisuju korisnike na umre転enim raunalima. 1. Verifikacija korisnika Verifikacija korisnika je ostvarljiva na lokalnom nivou i na globalnom tj. mre転nom nivou. Lokalna verifikacija korisnika znai postojanje lokalnog procesa koji korisnika na temelju njegovog imena i verificirane lozinke uvodi u sustav ili ne. Korisnik pri tome automatski biva smje邸ten u svoje osnovno kazalo i biva pokrenuta njegova inicijala korisnika ljuska kao na standardnom UNIX sustavu. Ako je potrebno mo転e se izvr邸iti i verifikacija korisnika na mre転i putem odgovarajuih procesa. To ujedno znai da korisnik mo転e nastaviti rad i u sluaju ispada mre転e na svom lokalnom raunalu, posto njegov opis postoji u lokalnim datotekama. Ne mora se posebno spominjati da je za takav sustav potrebno i imati pouzdanu administraciju sustava i jedinstven sustav korisnikih imena koji se odr転ava bilo runo bilo putem odgovarajuih alata.
  • 2. Slika 1: Primjer sustava datoteka slian UNIX operacijskom sustavu Prema navedenom postoje dakle dva stupnja verifikacije: lokalni na temelju kog korisnik ulazi u lokalo raunalo mre転ni na temelju kog korisnik pristupa uslugama mre転e i koji automatski svojom promjeno uzrokuje promjenu lokalnog. 1.1.Realizaija rje邸enja Prema preporukama i postojei de facto standardima za operacijski sustav UNIX za verifikaciju korisnika mora biti izvedena odreena struktura datoteka, kazala i programa na raunalu. Moraju postojati osnovna kazala za svakog korisnika, mora postojati datoteka sa opisom svih korisnika, komandne ljuske, login programi, te inicijalni programi (slika 1). Postupak pokretanja raunala, pristupa na mre転u, te verifikacije korisnika tee prema algoritmu prikazanom na slici 2. Pri tome se za operacijski sustav MSDOS moraju izvesti odreene specifine modifikacije datoteka CONFIG.SYS i AUTOEXEC.BAT tako da bi raunalo radilo obavilo navedenu sekvencu. Potrebno je modificirati SHELL varijablu u datoteci CONFIG.SYS kako bi inicijalni proces postao program koji vr邸i verifikaciju korisnika . pokretanje_raunala; provjera_raunala; pokretanje_mre転e; postupci_odr転avanja; Ponavljaj zauvijek poetak
  • 3. unesi korisnikove ime i lozinku; Ako korisnikovo ime postoji i lozinka je u redu tada ako postoji osnovno korisnikovo kazalo tada obavi_statistiku_za_korisnika; ako je mre転a aktivna tada ako uspije verifikacija na mre転i tada pokreni osnovnu korisnikovu ljusku; odjavi_korisnika_sa_mre転e inae pokreni osnovnu korisnikovu ljusku obavi_statistiku_za_korisnika; inae obavi_statistiku_za_korisnika; kraj. Slika 2: Postupak verifikacije korisnika 2.Postupci mre転ne verifikacije Mre転na verifikacija se mo転e izvoditi na vise naina ovisno o tipu mre転e, implementaciji verifikacije na danoj mre転i, te o dostupnim programskim alatima. 2.1.Verifikacija putem komandnih procedura za korisniku ljusku Najjednostavniji nain je kori邸tenje komandnih procedura za korisnike ljuske u neinteraktivnom nainu. Takav pristup ima prednost u tome sto se mre転na verifikacija mo転e izvesti i za korisnika koji uz verifikaciju zahtijeva aktiviranje specifinih mre転ni usluga, npr., pristup diskovima, 邸tampaima i sl. Pri odjavi sa mre転e istim nainom se pojedine usluge odjavljuju slika 2.1, 2.2. Nedostatak ove metode je u postojanju komandnih procedura koje se mogu neovla邸teno itati i mijenjati posto na MSDOS-u ne postoji mogunost efikasne za邸tite datoteka. REM komandna procedura za command.com REM poziva se sa parametrima /C ime_procedure korisnik lozinka REM primjer je za SUN PCNFS sustav REM REM verificiranje korisnika %1 je korisniko ime %2 je lozinka NET NAME %1 %2
  • 4. REM REM pristup mre転nim resursima, diskovima i 邸tampaima REM NET USE J: SUN:/usr/tehnika /ms NET USE I: m33:/usr/HINA /ms NET USE LPT1: tea:LN03 NET USE LPT2: tea:LN03 Slika 2.1: Tipian izgled komandne procedure za mre転nu verifikaciju korisnika i pristup odreenim mre転nim resursima. Mogua je i modifikacija ove metode tako da se komandne procedure za verificiranje na mre転i smjeste na za邸tiene mre転ne diskove odakle se svaki puta prenose na lokalni stroj ako postoji razlika izmeu kopija procedure na lokalnom stroju i one na mre転nim diskovima. Za takav pristup potrebno je modificirati algoritam verifikacije, tj. raunalo nekim postupkom mora prije verifikacije korisnika ostvariti pristup mre転nim resursima gdje su pohranjene centralne verzije komandnih procedura. REM komandna procedura za command.com REM poziva se sa parametrima /C ime_procedure REM primjer je za SUN PCNFS sustav REM REM otpu邸tanje mre転nih resursa, diskova i 邸tampaa REM NET USE J: /d NET USE I: /d NET USE LPT1: /d NET USE LPT2: /d REM REM odjava korisnika REM
  • 5. NET LOGOUT Slika 2.2: Tipina procedura za odjavu korisnika sa mre転e i otpu邸tanje mre転nih resursa. Prednost ovog postupka le転i u tome sto se mo転e realizirati na mre転nom sustavu koji minimalno ima rije邸eno dijeljenje diskova, pa nisu potrebni nikakvi posebni alati ni zahvati. 2.2. Verifikacija pristupom mre転nim uslugama Verifikacija korisnika putem pristupa mre転nim uslugama mo転e se ostvariti upotrebom postojeih usluga kakav je NIS ili pak ostvarivanjem vlastitih mre転nih usluga za potrebe verificiranja korisnika. Oba pristupa zahtijevanju postojanje programskih alata i paketa koji ne dolaze sa standardnim konfiguracijama mre転nih pro邸irenja MSDOS-a, tj. moraju se imati razvojni paketi. Takav pristup ima prednosti nad pristupom putem komandnih procedura za korisniku ljusku u tome sto je mogue implementirati vlastiti dodatni sigurnosni sustav sa slo転enijim nainom provjeravanja korisnika i sto je mogu pristup standardnim bazama podataka za verifikaciju korisnika koje se opet automatski usklauju sa promjenama na cijelom umre転enom sustavu. Realizacija sustava za verifikaciju korisnika na bazi NIS protokola za raunala pod operacijskim sustavom MSDOS zahtijeva postanje bar jednog NIS pru転aoca usluge u mre転i i odgovarajue programske podr邸ke na osobnom raunalu. Pri tome se modifikacija procesa verifikacije obavlja tako da se umjesto direktnog pristupa podacima na lokalnom stroju (lokalnim informacijama o korisnicima) koriste pozivi funkcija iz biblioteka za podr邸ku NIS protokola. Te funkcije /SCO/ pristupaju prvo mre転nom pru転aocu NIS usluge i tamo verificiraju korisnika. Ako pristup mre転nom pru転aocu usluge nije mogu tek tada se korisnik verificira uz pomo lokalnih podataka. Razvoj vlastitih protokola za verifikaciju korisnika je veoma slo転en proces i nije preporuljivo poduzimati posto navedeni naini verificiranja korisnika omoguuju jednostavno uklapanje u postojee sustave. Vlastiti protokol sigurnosti ima smisla u sluaju da se razvija uz neki drugi vlastiti specifini protokol ili uslugu. Kao primjer za to se mo転e navesti razvoj mre転ne usluge za veoma specifine potrebe kao sto je npr. izvje邸tajna agencija za koju se razvija sustav za udaljeni pregled vijesti. U tom sluaju potrebno je definirati mre転nu uslugu koja to omoguuje pa se definiranje dopunskog naina verifikacije korisnika za tu uslugu ugrauje u definiciju protokola te usluge /SCO/, slika 2.3. Treba napomenuti da u tom sluaju novi protokol verifikacije obuvaa i sva ostala raunala u sustavu a ne samo osobna raunala.
  • 6. Slika 2.3: Veza specifine mre転ne usluge i vlastitog protokola verifikacije korisnika 3. Zakljuak Postupci koji su opisani u ovom radu potrebni su za implementaciju verifikacije korisnika na sustavima umre転enih osobnih raunala, naroito na onim osobnim raunalima na kojima se mo転e pojaviti vise korisnika. To znai da za tzv. nesigurna osobna raunala (engl. nonsecure personal computers) mora postojati pro邸irenje sustava sigurnosti kako bi se za邸titili i korisnici i raunala i lokalno i u cijelom sustavu. Navedeni postupci su lako uvodljivi i omoguuju prihvatljiv stupanj sigurnosti za lokalne strojeve i za mre転u. Osobna raunala koja su stvarno osobna tj. za koja postoji samo jedan imenovani korisnik ne podlije転u takvim problemima posto se taj korisnik mora brinuti o raunalu, a i aplikacije za mre転nu podr邸ku su i izraene za takvu upotrebu osobnih raunala, no i na njih su navedeni postupci takoer primjenjivi. Odabir postupka verifikacije korisnika je slo転en proces vrednovanja i procjene zahtijeva sustava i usluga na njemu. Ako se odabere pogre邸an ili preslab sustav verifikacije korisnika 邸tete mogu biti nesagledive, pa je zato bolje primijeniti zahtjevniji sustav verifikacije koji e mo転da i smanjiti performansu sustava, ali e zadr転ati nivo sigurnosti sustava. 4. Literatura /RFC1094/ "NFS: Network File System Protocol Specification", Sun Microsystems, Inc, March 1989. /SCO1/ "SCO Network File System (NFS) System Administartor's Guide", Santa Cruz Operations Inc., 12 March 1991.