Escolar Documentos
Profissional Documentos
Cultura Documentos
LICENCIATURA EM INFORMÁTICA
4º Ano
Sistemas de Autenticação
3º Grupo
Quelimane
2022
Dário Gildo de Carvalho
Mercito Francisco Armando Ordem
Mildo Álvaro António Sortane
Sualé Mussa Francisco
Sistemas de Autenticação
3º Grupo
Quelimane
2022
Índice
1. INTRODUÇÃO ....................................................................................................................... 4
1.1. Objectivos ................................................................................................................................. 4
1.1.1. Geral ...................................................................................................................................... 4
1.1.2. Objectivos Específicos .......................................................................................................... 4
1.2. Metodologia do Projecto .......................................................................................................... 4
2. SISTEMAS DE AUTENTICAÇÃO ........................................................................................ 5
2.1. OBJECTIVO ..................................................................................................................... 5
2.2. COMPONENTES LÓGICOS DE UM SISTEMA DE AUTENTICAÇÃO (AAA) ........ 5
2.3. AUTENTICAÇÃO ........................................................................................................... 6
2.4. AUTORIZAÇÃO .............................................................................................................. 8
2.5. CONTABILIZAÇÃO ....................................................................................................... 9
2.6. PROTOCOLOS DE AAA ................................................................................................ 9
2.6.1. CLIENTE PEP........................................................................................................... 9
2.6.1.1. PPP E PPPoE ......................................................................................................... 9
2.6.1.2. VPN IPsec E SSL/TLS ........................................................................................ 10
2.6.2. PEP-PDP.................................................................................................................. 10
2.6.2.1. RADIUS............................................................................................................... 10
2.6.2.2. TACACS+ ........................................................................................................... 10
2.6.2.3. DIAMETER ......................................................................................................... 10
2.6.3. CLIENTE-PDP ........................................................................................................ 10
2.6.4. PDP-PIP ................................................................................................................... 11
2.7. REPOSITÓRIO DE CREDENCIAIS DE AUTENTICAÇÃO ...................................... 11
2.7.1. LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) ......................... 11
2.7.2. MODELO CLIENTE-SERVIDOR LDAP .............................................................. 12
2.7.3. ELEMENTOS DO DIRECTÓRIO ......................................................................... 13
2.8. PROTOCOLOS DE ACESSO AO REPOSITÓRIO ...................................................... 13
2.8.1. LDAP ....................................................................................................................... 13
2.8.1.1. CLIENTE LINUX ............................................................................................... 14
2.8.1.2. CLIENTE APPLE MACOS ................................................................................ 15
2.8.1.3. CLIENTE MICROSOFT WINDOWS ................................................................ 15
2.8.2. RADIUS .................................................................................................................. 16
2.9. EXEMPLO DE UTILIZAÇÃO DE SERVIÇO DE AUTENTICAÇÃO ....................... 17
2.10. REDUNDÂNCIA E ESCALABILIDADE ................................................................. 17
2.10.1. REPLICAR O DIRECTÓRIO ................................................................................. 18
2.10.2. REPARTIR O DIRECTÓRIO ................................................................................. 18
2.10.3. REDUNDÂNCIA RADIUS .................................................................................... 18
2.10.4. Expansão da Solução ............................................................................................... 18
2.11. OUTRAS ALTERNATIVAS ..................................................................................... 19
2.11.1. KERBEROS ............................................................................................................ 19
2.11.2. MICROSOFT ACTIVE DIRECTORY ................................................................... 20
2.11.3. SHIBBOLETH SYSTEM ....................................................................................... 20
3. CONCLUSÃO ....................................................................................................................... 21
4. REFERÊNCIA BIBLIOGRÁFICA ....................................................................................... 22
4
1. INTRODUÇÃO
O presente trabalho tem como tema, Sistemas de Autenticação. Onde estes são encontrados em
diversos computadores e sistemas para melhor controlo no acesso das informações de clientes ao
tentar ter acesso a seus dados e informações. Na mesma sequência iremos descrever todos
elementos que compõem os sistemas de autenticação. Definindo cada um, descrevendo alguns
componentes e suas funcionalidades dentro de diversos sistemas e plataformas. Seja no Apple,
Linux e no Microsoft Windows.
1.1. Objectivos
1.1.1. Geral
Compreender a camada de aplicação.
1.1.2. Objectivos Específicos
Debruçar sobre os principais conceitos da camada de aplicação;
Distinguir os protocolos da camada de aplicação;
Apontar a forma de funcionamento de cada protocolo de comunicação.
2. SISTEMAS DE AUTENTICAÇÃO
2.1. OBJECTIVO
Durante vários anos, um sistema de AAA era sinónimo de um sistema RADIUS. O papel que os
sistemas de AAA desempenham, neste contexto, e os novos requisitos de segurança para fazer
face a ameaças externas e internas necessitam de um modelo de AAA mais elaborado, que
permita enquadrar as múltiplas tecnologias de autenticação, autorização e contabilização,
independentemente da tecnologia da rede de acesso. Dentre os componentes lógicos referidos no
RFC 2904 que o modelo de referência adoptou são:
Onde:
2.3. AUTENTICAÇÃO
As credencias de autenticação submetidas pelo cliente ao PDP como prova de identidade são,
normalmente =, enquadradas num dos seguintes tipos:
7
Informação de contexto inclui um conjunto de factores que os PDP mais complexos podem ter
em consideração para determinar a decisão de acesso a um recurso, designadamente, a hora a que
é solicitado o acesso ou a rede a partir da qual é feito o pedido. Inclui-se, ainda, na informação de
contexto, a informação de postura do dispositivo, como o sistema de operações do cliente, a data
da última actualização do antivírus ou outras situações que poderão representar um factor risco. A
informação de postura é, normalmente, discutida no âmbito do controlo de acesso à rede (NAC,
Network Access Control).
2.4. AUTORIZAÇÃO
Uma vez identificado o utilizador, a autorização determina o que ele “pode fazer”, isto é, quais os
recursos do sistema que pode utilizar. A granularidade desta decisão depende, necessariamente,
da implementação do componente responsável pela tomada de decisão (PDP) e do ponto onde é
aplicada a politica de acesso (PEP), não bastando que a informação esteja simplesmente
armazenada no PIP.
Por exemplo, na atribuição dinâmica de VLAN, um switch (PEP), que tenha capacidade, bloqueia
o acesso à rede ao utilizador até estar concluída a autenticação. De seguida, o switch configura
automaticamente a porta, de acordo com a informação sobre a VLAN em que o utilizador deve
ser colocado.
O RADIUS, para facilitar a troca de informações entre o PDP e o PEP, permite definir Vendor
Specific Attributes (VSA) que, como o nome indica, constituem atributos específicos que não
9
Uma alternativa, recentemente normalizada no RFC 4849 “RADIUS Filter Rule Attribute”,
define uma extensão que vai permitir, por exemplo, armazenar listas de controlo de acesso (ACL)
em atributos RADIUS, o que significa que podem ser implementadas politicas de controlo de
acesso, por utilizador.
2.5. CONTABILIZAÇÃO
Num acesso telefónico (dial-up), é estabelecida uma ligação ponto – a - ponto entre o cliente e o
PEP que, neste caso, é um Network Acess Server (NAS) do operador. Esta ligação utiliza o Point-
to-Point Protocol (PPP) que, Após estabelecimento da ligação, inclui uma fase de autenticação
(opcional). A validação das credenciais de autenticação entre o cliente e o PEP é então feita com
base em PAP ou CHAP.
10
Um utilizador pode solicitar acesso seguro à rede da sua organização, a partir de uma rede
remota. O PEP corresponderá, assim, ao concentrador de VPN, localizado na rede de destino, que
termina a ligação segura e autentica o utilizador.
2.6.2. PEP-PDP
2.6.2.1. RADIUS
2.6.2.2. TACACS+
O TACACS+ é um protocolo proprietário, desenvolvido pela Cisco, para comunicação entre PEP
e PDP. Apesar de funcionalidades importantes e de suporte que recebe nos equipamentos de
outros construtores, não tem a aceitação do RADIUS.
2.6.2.3. DIAMETER
2.6.3. CLIENTE-PDP
2.6.4. PDP-PIP
De acordo com a especificação do LDAPv3, o cliente pode ter acesso anónimo ao directório
(sem credenciais de autenticação), que é um processo de autenticação bastante útil quando,
por exemplo, se pretende dar acesso a um serviço de pesquisa de contactos. Em alternativa,
pode-se utilizar um dos mecanismos de autenticação simples:
Para controlo mais selectivo de acesso dos clientes à informação, o LDAPv3 prevê a utilização de
listas de controlo de acesso (ACL).
Uma entrada (entry) corresponde a uma folha da árvore e contém informações relativas a um
objecto, na forma de atributos.
Uma objectClass é um atributo espacial que estrutura a informações em cada entrada, isto é,
define os atributos, obrigatórios ou opcionais, que podem existir na entrada.
As objectClass válidas e os atributos que incluem, quais os atributos obrigatórios e quais são
opcionais, a sintaxe de cada atributo, os mesmos são definidos nos ficheiros de schema
armazenados em /etc/openldap.schema ou em /user/local/etc/openldap/schema,
objectClass person que permite incluir, na entrada, os atributos necessários para conter a
informação sobre pessoas.
Um cliente pode ter acesso à informação no directório, através de dois protocolos – LDAP, o
protocolo nativo do directório, e RADIUS. Em primeiro lugar, é apresentada a configuração de
um cliente Linux para acesso LDAP a repositório de credenciais e, de seguida, após uma
introdução ao protocolo RADIUS, inclui-se configuração de um servidor freeRADIUS que utiliza
o mesmo repositório de credenciais.
2.7.4. LDAP
NSS (Name Service Switch): Permite ao administrador de sistemas escolher quais os serviços de
resolução de nomes que serão usados em diversos contextos.
15
Primary Domain Controller (PDC) SAMBA, os sistemas Windows autenticam-se num PDC
implementado com SAMBA que, acede por LDP ao repositório de credenciais. Para permitir a
autenticação de clientes Windows, o directório tem que suportar o samba.achema incluído na
distribuição SAMBA. Esta solução oferece, funcionalidades adicionais, como a possibilidade de
dispor de um Backup Domain Controller (BDC), serviços de partilha de ficheiros e de impressão,
igualmente implementados com SAMBA.
Outra alternativa, pode-se optar por uma abordagem completamente independente do ambiente
Microsoft e fazer com que cada computador Windows possa aceder directamente, via LDAP, ao
directório. Para permitir a utilização de outros mecanismos de autenticação, a Microsoft
disponibiliza a especificação da interface da DLL Gina (Graphical Indentification aNd
Authentication). O pGINA é um substituto da DLL GINA que permite a utilização de diversos
métodos de autenticação, designadamente LDAP e RADIUS.
2.7.5. RADIUS
O Remote Authentication Dial In User Service (RADIUS) foi desenvolvido pela Livingstone com
o objectivo de autenticar utilizadores dial-up que acediam aos seus Network Access Servers
(NAS), especificar os serviços autorizados a cada utilizador e contabilizar a utilização desses
serviços. O RADIUS é um protocolo para comunicação entre PEP e o PDP, em que o PEP
corresponde ao NAS e o PDP ao servidor de RADIUS que integra também o componente de
contabilização.
A figura apresenta uma pequena rede que poderá ser montada para testar o servidor de
autenticação descrito e as configurações dos clientes. Os servidores LDAP e RADIUS são
incluídos no mesmo hardware, constituindo o que tem sido designado por “servidor de
autenticação”. A rede inclui três clientes – um sistema Linux, um MacOS e um Windows XP.
Um serviço de autenticação que se pretende que dê resposta, não apenas aos requisitos de uma
pequena organização, mas também aos de organizações de grande dimensão, geograficamente
dispersas e com elevado número de utilizadores, tem requisitos importantes de redundância e
escalabilidade. O serviço de autenticação deverá ser implementado de modo a permitir, não só
integrar as diversas plataformas de software, como oferecer sólidos mecanismos resistentes a
18
Repartir directórios consiste em armazenar uma parte do directório num ou mais servidores. A
repartição do directório é suportada pela ObjectClass referral, este atributo é apenas um URI que
contém uma ligação, ou referencia subordinada, para o servidor que contém de facto a
informação, neste caso, as entradas da ou=pessoas.
A SESSION-KEY: é uma chave temporária gerada pelo KDC, válida apenas numa única
sessão, utilizada para cifrar a comunicação entre dois principals, que tem um papel muito
importante na prova de identidade do utilizador.
O TICKET: inclui informação que um sistema cliente transmite para um servidor
aplicacional como prova da sua identidade. São emitidos por um servidor de autenticação
e cifrados com a chave secreta associada ao serviço de autenticação e pelo sistema que
fornece o serviço (o cliente nunca tem conhecimento da chave). As principais
componentes da informação de um ticket são a identidade do cliente (username), o
principal do serviço a que o ticket se destina, o endereço IP do cliente, o dia e hora
(timestamp) a partir da qual o ticket é válido, a duração máxima do ticket e a session key.
distribui os tikets para acesso aos serviços, após garantir a autenticidade da identidade do
principal.
2.10.2. MICROSOFT ACTIVE DIRECTORY
Identity Provider (IDP): Software na organização de origem do utilizador que pretende ter
acesso a um serviço restrito. Para ter acesso às credenciais dos utilizadores deve ser
integrado com o serviço de directório da organização;
Server Provider (SP): Software de controlo de acesso ao serviço, gerido pelo respectivo
fornecedor, que dialoga com o IdP para validar o acesso do utilizador e avaliar se este está
autorizado a utilizar o recurso.
21
3. CONCLUSÃO
4. REFERÊNCIA BIBLIOGRÁFICA
CONVERY, S. , “Network Authentication, Authorization and Accounting Part I”. The Internet
Protocol Journal, Volume 10, Number 1, http://www.cisco.com/ipj/, (2007)
CONVERY, S. , “Network Authentication, Authorization and Accounting Part II”. The Internet
Protocol Journal, Volume 10, Number 2, http://www.cisco.com/ipj/, (2007)