- •Основные функции ос:
- •Дополнительные функции:
- •Состав операционной системы
- •4. Классификация ос
- •Особенности алгоритмов управления ресурсами
- •Особенности аппаратных платформ
- •Особенности областей использования
- •Особенности методов построения
- •Примеры архитектуры реальных операционных систем Архитектура операционной системы unix
- •Архитектура операционной системы Windows
- •2.1.1 Понятие процесса
- •2.1.2 Модель процесса
- •2.1.3 Создание процесса
- •2.1.4 Завершение процесса
- •2.1.5 Иерархия процессов
- •2.1.6 Состояние процессов
- •2.2 Потоки (нити, облегченный процесс)
- •2.2.1 Понятие потока
- •2.2.2 Модель потока
- •2.2.3 Преимущества использования потоков
- •2.2.4 Реализация потоков в пространстве пользователя, ядра и смешанное
- •2.2.5 Особенности реализации Windows
- •16. Состояния потоков
- •19. Синхронизирующие объекты ос: системные семафоры, мьютексы, события, сигналы.
- •25. Устройство ввода-вывода
- •[Править]Устройства ввода/вывода
- •Задачи файловой системы
- •29. 5. Организация файлов и доступ к ним
- •Последовательный файл
- •Файл прямого доступа
- •Другие формы организации файлов
- •Операции над файлами
- •32. Терминология компьютерной сети
- •[Править]Уровни модели osi
- •[Править]Прикладной уровень
- •[Править]Представительский уровень
- •[Править]Сеансовый уровень
- •[Править]Транспортный уровень
- •[Править]Сетевой уровень
- •[Править]Канальный уровень
- •[Править]Физический уровень
- •[Править]Соответствие модели osi и других моделей сетевого взаимодействия
- •[Править]Семейство tcp/ip
- •[Править]Семейство ipx/spx
- •[Править]Основное назначение
- •38. Тема 3.3 Сетевые службы и сетевые сервисы.
- •Понятие сетевой службы и сетевого сервиса
- •Клиент-серверная организация сетевых служб. Согласование протоколов
- •39. Одноранговые и серверные сетевые операционные системы
- •Ос в одноранговых сетях
- •Ос в сетях с выделенными серверами
- •40. Служба каталогов
- •[Править]Историческая справка
- •[Править]Реализация
- •42. 5.6. Сетевые файловые системы
- •5.6.2. Сетевая файловая система (nfs)
- •43. Информационная безопасность
- •[Править]Сущность понятия «информационная безопасность» [править]Содержание понятия
- •[Править]Стандартизированные определения
- •[Править]Существенные признаки понятия
- •[Править]Рекомендации по использованию терминов
- •[Править]Объём (реализация) понятия «информационная безопасность»
- •[Править]Нормативные документы в области информационной безопасности
- •[Править]Органы (подразделения), обеспечивающие информационную безопасность
- •[Править]Организационно-технические и режимные меры и методы
- •[Править]Программно-технические способы и средства обеспечения информационной безопасности
- •[Править]Организационная защита объектов информатизации
- •[Править]Исторические аспекты возникновения и развития информационной безопасности
- •47. Шифрование
- •49. Технология защищенного канала
- •50. Элементы системы аутентификации
- •[Править]Факторы аутентификации
- •[Править]Способы аутентификации [править]Аутентификация по многоразовым паролям
- •[Править]Защищенность
- •[Править]Базы учетных записей
- •[Править]Аутентификация по одноразовым паролям
- •[Править]Многофакторная аутентификация
- •[Править]Протоколы аутентификации
- •Cубъект расшифровывает полученое число на основе своего уникального ключа и сравнивает результат с n1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
- •[Править]Причина появления
- •[Править]Развитие протокола [править]Ранние версии
- •[Править]Kerberos 4
- •[Править]Kerberos 5
- •[Править]Использование и распространение
- •[Править]Принцип работы [править]Kerberos 4
- •[Править]Kerberos 5
- •[Править]Формальное описание
- •[Править]Подробное описание
- •[Править]pkinit
- •52. Человеко-машинный интерфейс
[Править]Использование и распространение
Распространение реализации Kerberos происходит в рамках авторского права аналогичного правам для BSD.
В настоящее время множество ОС поддерживают данный протокол, в число которых входят:
Windows 2000 и более поздние версии, которые используют Kerberos как метод аутентификации в домене между участниками. Некоторые дополнения к этому протоколу отражены в RFC 3244 «Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols». Документ RFC 4757 описывает использование RC4 Kerberos в Windows
Различные UNIX и UNIX подобные ОС (Apple Mac OS X, Red Hat Enterprise Linux 4, FreeBSD, Solaris, AIX, OpenVMS)
[Править]Принцип работы [править]Kerberos 4
Этап аутентификации клиента
Kerberos 4 в значительной степени основан на протоколе Нидхема-Шредера, но с двумя существенными изменениями:
Первое изменение протокола уменьшало количество сообщений пересылаемых между клиентом и сервером аутентификации.
Второе, более существенное изменение базового протокола заключается в ведении TGT (Ticket Granting Ticket — билет для получения билета) концепции, позволяющей пользователям аутентифицироваться на несколько сервисов используя свои верительные данные только один раз.
Как результат, протокол Kerberos 4 содержит два логических компонента: Сервер аутентификации (СА) и сервер выдачи билетов (TGS — Ticket Granting Server). Обычно эти компоненты поставляются как единая программа, которая запускается на центре распределения ключей (ЦРК — содержит базу данных логинов/паролей для пользователей и сервисов использующих Kerberos).
Сервер аутентификации выполняет одну функцию: получает запрос содержащий имя клиента запрашивающего аутентификацию и возвращает ему зашифрованный TGT. Затем пользователь может использовать этот TGT, для запроса дальнейших билетов на другие сервисы. В большинстве реализаций Kerberos время жизни TGT 8-10 часов. После этого клиент снова должен запросить его у СА.
Первое сообщение, отправляемое центру распределения ключей — запрос к СА, так же известен как AS_REQ. Это сообщение отправляется открытым текстом и содержит идентификационные данные клиента, метку времени клиента и идентификатор сервера предоставляющего билет (TGS).
Когда ЦРК получает AS_REQ сообщение, он проверяет, что клиент, от которого пришел запрос, существует, и его метка времени близка к локальному времени ЦРК (обычно ± 5 минут). Данная проверка производится не для защиты от повторов (сообщение посылается открытым текстом), а для проверки соответствия времени. Если хотя бы одна из проверок не проходит, то клиенту отправляется сообщение об ошибке, и он не аутентифицируется.
В случае удачной проверки СА генерирует случайный сеансовый ключ, который будет совместно использоваться клиентом и TGS (данный ключ защищает дальнейшие запросы билетов у TGS на другие сервисы). ЦРК создает 2 копии сессионного ключа: одну для клиента и одну для TGS.
Затем ЦРК отвечает клиенту сообщением сервера аутентификации (AS_REP) зашифрованным долгосрочным ключом клиента. Которое включает TGT зашифрованный TGS ключом (TGT содержит: копию сессионного ключа для TGS, идентификатор клиента, время жизни билета, метку времени ЦРК, IP адрес клиента), копию сессионного ключа для клиента, время жизни билета и идентификатор TGS.
Этап авторизации клиента на TGS
Когда пользователь захочет получить доступ к сервису, он подготовит сообщение для TGS (TGS_REQ) содержащее 3 части: идентификатор сервиса, копию TGT полученную ранее и аутентификатор (Аутентификатор состоит из метки времени зашифрованной сессионным ключом полученным от СА и служит для защиты от повторов).
При получении запроса билета от клиента, ЦРК формирует новый сессионный ключ для взаимодействия клиент/сервис. Затем отправляет ответное сообщение (TGS_REP) зашифрованное сессионным ключом полученным от СА. Это сообщение содержит новый сеансовый ключ, билет сервиса (Service ticket содержит: копию нового сессионного ключа, идентификатор клиента, время жизни билета, локальное время ЦРК, IP клиента) зашифрованный долговременным ключом сервиса, идентификатор сервиса и время жизни билета.
Детали последнего шага — отправки билета службы серверу приложений не стандартизировались Kerberos 4, поэтому его реализация полностью зависит от приложения.