Často kladené dotazy

Je bezpečná architektura, kdy se uživatelský klíč generuje a uchovává na straně serveru?

Privátní klíč zašifrovaný passphrase (3DES) není principiálně odlišný od hesla uživatele uloženého na straně serveru LDAP či UNIX. Generování a uchovávání PKI klíče mimo pracovní stanici je dle našich zkušeností z řady projektů řádově bezpečnější než v prostředí, kde si klíče generují uživatelé sami.

Na jaké Identity Manager aplikace je možné KDM napojit?

Nyní jsou připraveny konektory na SUN Identity Manager 7.x a Oracle Waveset. Je možné připojení na libovolný Identity Manager přes vyvinutý konektor, který bude volat uložené shell/perl skripty.

Jaké Linux/UNIX systémy je možné řídit přes KDM?

Ověřené a otestované jsou následující systémy:

  • Red Hat Enterprise Linux
  • IBM AIX
  • HP-UX
  • SUSE Linux
  • Solaris

Je možné přes KDM řídit i operační systémy Windows?

Ne, operační systémy Windows není možné přes KDM řídit. Uživatelé však mohou ke KDM přistupovat jak z prostředí Windows, tak i UNIX a Linux.

Lze použít diceware pro generování hesel ke klíčům?

Ano, KDM je možné nakonfigurovat tak, aby hesla ke klíči byla generována automaticky dle diceware slovníku.

Jsou všechny provedené změny KDM logovány? Lze nad tímto logem napojit monitoring?

Ano, všechny změny, které KDM provádí jsou logovány do audit logu KDM na file systém. KDM logy mohou být načítány standardními monitorovacími nástroji, jako např. enVision či Nagios.

Pro kolik koncových systémů je nástroj KDM vhodný?

Správa uživatelů a autentizace v operačních systémech UNIX a Linux je specifická v tom, že se zde vyskytuje poměrně malé množství uživatelů s velmi vysokými oprávněními. Počet serverů bývá naopak poměrně vysoký (desítky až stovky). KDM je schopno řídit stovky až tisíce UNIX serverů v závislosti na použitém hardware a počtu uživatelů.

Jaké SSH klienty KDM podporuje?

KDM podporuje klienty a agenty splňující standard openSSH. V prostředí Windows je to například program putty či WinSCP. Jako SSH agenta doporučujeme program pageant.

Jaký je rozdíl oproti kerberizaci UNIX systémů?

Technologie KDM a Kerberos jsou si do značné míry podobné. Obě staví na vydávání privátních klíčů, resp. kerberos ticketů z centrální autority. Nejznámějším Kerberos serverem je Microsoft Active Directory, existují ale i open source produkty.

KDM

  • Autentizace ke KDM je řešena pomocí PAM modulů a umožňuje tak i vícefaktorovou autentizaci.
  • Vyšší bezpečnost šifrování (RSA + AES) a PKI infrastruktury obecně.
  • Umožňuje řídit i životní cyklus uživatelských identit.
  • Automaticky řeší nastavení koncových serverů a hlídá jejich konfiguraci.

Kerberos

  • Nutná "kerberizace" koncových systémů, vysoká závislost na centrálním prvku i v případě přihlašování na koncové systémy.
  • Autentizace pouze heslem.
  • Menší bezpečnost šifrování.
  • Heslo slouží jak primární šifrovací klíč (nebezpečí při zcizení hesla).
  • Není možné řídit uživatelské identity.

[ ↑ k obsahu ↑ ]