По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Что такое SSO?
С помощью системы единого входа (SSO - single sign-on) клиенты могут получать доступ к различным сайтам и приложениям, используя всего один набор входных данных. SSO работает со стратегией подтверждения личности клиента. Это происходит, когда клиент входит в одну программу и сразу же получает доступ в других связанных приложениях. Различные имена пользователей и пароли теперь можно более эффективно отслеживать в различных учетных записях и ресурсах.
Удобно ведь, когда человек входит в Google, и его сертификаты за доли секунды подтверждаются в связанных ресурсах, включая Gmail и YouTube, без необходимости регистрации в каждой из них.
Токен SSO
Токеном системы единого входа (SSO Token) называется сбор информации или данных, которые отправляются с одной платформы на другую в процессе использования SSO. Это основополагающие данные такие, как адрес электронной почты клиента и сведения о системе, которая отправляет токен. Чтобы условный сборщик имел возможность подтвердить, что токен поступает из надежного источника, они должны быть строго промаркированы. В процессе настройки пересылается подтверждение надежности токена, используемого для этой маркировки.
Важность системы единого входа
SSO имеет важное значение в свете того факта, что постоянно растет количество ресурсов и учетных записей, доступ к которым клиентам необходимо контролировать, и каждый из этих ресурсов требует определенной степени безопасности, которая обычно обеспечивается с помощью комбинации имени пользователя и пароля. Тем не менее, руководителям и клиентам, которые стараются подобрать надежные пароли для нескольких учетных записей, может быть трудно упорядочить и работать с таким количеством учетных записей. Система единого входа поддерживает безопасный доступ к приложениям, унифицируя технику для руководителей и клиентов.
Процедура единого входа может выполняться с использованием различных методических инструкций, но все они соответствуют одной и то же базовой структуре. Важным аспектом является то, что они позволяют приложениям отдавать право подтверждения клиента другому приложению или администратору.
Этап SSO рассматривается как отдельное пространство, где можно работать лишь с идентификаторами клиентов.
Как работает SSO?
В основе лежат доверительные отношения между поставщиком услуг (Service Provider) – программой, и поставщиком удостоверений (Identity Provider) – например такой компанией, как OneLogin. Сертификат, которым обмениваются поставщик услуг и поставщик удостоверений, как правило, служит основой для этих самых доверительных отношений. Чтобы поставщик услуг знал, что идентификационная информация поступает из надежного источника, этот сертификат можно использовать для подписи этой идентификационной информации, которая передается от поставщика идентификационной информации поставщику услуг. В SSO эти идентификационные данные представляют собой токены, которые включают в себя идентифицирующие данные о человеке, такие как его адрес электронной почты или имя пользователя.
SSO работает на основе доверительных отношений, установленных между приложением, называемым поставщиком услуг, и поставщиком персональных данных, таким как OneLogin. Эти доверительные отношения часто основаны на положительном заключении, одобрении, которым обмениваются поставщик персональных данных и специализированная организация. Это одобрение можно использовать для подписи данных о пользователе, которые отправляются от поставщика персональных данных в специализированную организацию, чтобы поставщик услуг убедился в надежности источника данных. В SSO эта персональная информация отображается в виде токенов, которые содержат различимые фрагменты данных о клиенте, такие как адрес электронной почты клиента или имя пользователя.
Далее показано, как обычно происходит взаимодействие при входе в систему:
Клиент изучает программу или сайт – «поставщика услуг», к которому он хочет получить доступ.
Чтобы запросить проверку личности клиента у SSO, иначе называемой поставщиком удостоверений, поставщик услуг передает токен, который содержит некоторую информацию о клиенте, например, его адрес электронной почты.
Чтобы разрешить доступ к приложению поставщика услуг и сразу перейти к пункту 5, поставщик удостоверений должен для начала определить, проходил ли недавно клиент аналогичную проверку.
Если клиент этого еще не делал, ему будет предложено войти в систему, предоставив требуемые условия допуска поставщика удостоверений. Это может быть просто имя пользователя и пароль, или это может быть даже совсем другая стратегия подтверждения, например, одноразовый пароль.
Поставщик удостоверений отправляет обратно поставщику услуг символьные данные подтверждения фактической проверки каждый раз, когда он подтверждает отправленные сертификаты.
Программа клиента передает этот токен поставщику услуг.
Доверительные отношения, который были установлены между поставщиком услуг и поставщиком удостоверений во время основного соглашения, используются для утверждения пути проверки через символьные данные, полученные поставщиком услуг.
Специализированная организация (поставщик услуг) разрешает доступ клиента.
Новый сайт также должен иметь группу доверия, настроенную с механизмом SSO, и процесс проверки будет аналогичным, когда клиент попытается получить доступ к альтернативному сайту.
Типы конфигураций SSO
SAML - Открытый стандарт SAML (Security Access Markup Language) рассматривает обмен символьной информацией путем кодирования текста в машинный язык. На сегодняшний день SAML – один из основных принципов SSO, он помогает поставщикам приложений гарантировать правильность выполнения их требований проверки. Данные могут передаваться через интернет-браузер благодаря SAML 2.0, который был создан специально для использования в веб-приложениях.
OAuth - Компонент авторизации открытого стандарта, известный под названием oAuth, отправляет идентификационные данные между приложениями, используя шифрование машинного кода. Это особенно удобно для использования в локальных приложениях, поскольку позволяет клиентам разрешать доступ к своей информации, начиная с первого приложения, и далее в следующих приложениях, без необходимости подтверждать свою личность физически.
Kerberos - При неопределенной организации защиты клиент и сервер могут проверять личность друг друга, используя соглашение Kerberos. Клиенты и программирующие программы, такие как клиенты электронной почты или вики-серверы, проверяются с помощью пропускающего ресурса, который распространяет токены.
OIDC - OIDC расширяет OAuth 2.0 путем расширения возможности SSO и поддерживая явную информацию о клиенте. Это позволяет произвести однократную авторизацию для входа в систему для нескольких уникальных приложений. Например, позволяет клиентам входить в справочную систему, используя свою учетную запись Facebook или Google, а не вносить новую информацию в сертификат клиента.
Проверка подлинности смарт-карты - Помимо обычного SSO, существует также средства, поддерживающие подобный механизм. Модели устройств содержат устройства чтения карт, которые клиенты могут подключать к своим компьютерам. Для проверки личности клиента программа использует криптографические ключи, хранящиеся на карте. Карты должны находиться только у клиента во избежание утери. Их использование является дорогостоящим, независимо от того, являются ли они просто сами по себе безопасными или требуют PIN-код для работы.
Использование SAML и OAuth в SSO
Для проверки своей легитимности токены подтверждения используют рекомендации по обмену данными (переписке). SAML, который является языком для создания токенов подтверждения, является основной рекомендацией. XML используется в стандарте SAML для разрешения проверки личности клиента и передачи ему доступа, чтобы можно было связываться через зоны действия системы безопасности. SAML работает с перепиской между клиентом, SP и IdP при использовании его в SSO.
Данные клиентов должны безопасно предоставляться различным ресурсам с единственным входом в систему. Это становится возможным с OAuth, который позволяет различным внешним ресурсам использовать данные записи клиента. SP сообщает IdP о запросе клиента на доступ, который IdP затем проверяет и подтверждает, прежде чем предоставлять доступ клиенту. Решение зарегистрироваться на сайте, используя учебную запись Facebook, а не имя пользователя и пароль, является одним из примеров.
SSO может использоваться как для автономных соглашений OAuth, так и для SAML. В то время как SAML проверяет клиентов, OAuth используется для подтверждения доступа клиентов.
Преимущества и недостатки SSO
Преимущества:
Сокращение количества атак: SSO исключает возможность того, что закончатся пароли, а также правила подбора паролей, что делает организацию более защищенной от фишинга. Это исключает сбросы паролей, что является утомительным и дорогостоящим, и позволяет клиентам запоминать лишь один пароль.
Простой и безопасный клиентский доступ: SSO предоставляет организациям возможность оперативно получить информацию о том, какие клиенты, когда и откуда получили доступ к тем или иным приложениям, позволяя им тем самым защитить целостность своих инфраструктур. Механизмы SSO также могут справить с такими угрозами безопасности, как сбой рабочего устройства, позволяя IT-службам быстро блокировать доступ к учетным записям и важной информации на устройстве.
Улучшена оценка клиентского доступа. В постоянно меняющейся обстановке в организации, как правило, стараются обеспечить доступ законных сотрудников к базовым данным и активам на соответствующем уровне. В зависимости от работы, подразделения и статуса клиента права доступа могут быть реализованы с использованием механизмов SSO. Это обеспечивает различимость входных уровней.
Конкурентоспособность: пользователи отмечают более быстрый и удобный доступ к проектам, которые им необходимо завершить. Физическая обработка запросов – это задача, которая в основном раздражает клиентов. Проверка SSO избавляет от этой необходимости, предоставляя мгновенный доступ к огромному количеству приложений всего за одну галочку.
SSO – это наиболее важный этап защиты вашего бизнеса и его клиентов. Вы можете использовать SSO в качестве основы для других средств защиты, включая многофакторную проверку подлинности и сочетание проверки личности, оценки рисков и согласования советов директоров для выполнения предварительных требований и сокращения предоставления неверных данных. SSO делает вашу организацию легитимной и обеспечивает ее безопасность.
Недостатки:
SSO проста и практична в использовании, но если она не контролируется должным образом, то это может быть проблемой для безопасности. К проблемам SSO относятся:
Если злоумышленник получает права доступа SSO клиента, он также получает и доступ ко всем его приложениям. Соответственно, использование стратегий проверки, отличных от паролей, является основополагающим принципом.
Возможные недостатки: недавно злоумышленники получили несанкционированный доступ к веб-сайтам и различным записям из-за недостатков, обнаруженных к SAML и OAuth. Работа с поставщиком, который объединяет SSO с другими этапами проверки и управление личностями в своем продукте, является крайне необходимой в этом отношении.
Сходство приложений: иногда приложение может быть спроектировано так, что оно не очень подходит для работы с SSO. Будь то через SAML, Kerberos или OAuth, поставщики приложений должны обеспечить полноценную функциональность SSO. В любом другом случае, ваша система SSO не будет полностью вовлечена, а просто добавит еще один пароль, чтобы клиенты могли его восстановить.
Безопасна ли система SSO?
Однако неверно было бы утверждать, что SSO – это волшебное решение проблемы. Стоимость, контроль, нормализация (SAML против OAuth) и безопасность, безусловно, являются трудными задачами для организации системы единого входа. Сайт или ресурс могут быть подвержены атаке злоумышленника из-за проблем с проверкой, таких как уязвимость функции «Войти через Apple» или дефект Microsoft OAuth.
Кроме того, стоит понимать, что SSO-этап должен быть включен в более крупную корпоративную IT-структуру, поэтому следует тщательно продумать, как это сделать, сохраняя при этом общую безопасность. SSO, например, может помешать устройствам безопасности распознать начальный IP-адрес клиента при попытке пойти в вашу систему.
Несмотря на все это, использование SSO в большинстве случаев обеспечивает более высокий уровень безопасности, чем ожидание того, что клиенты будут контролировать все входы в систему для крупных бизнес-приложений. SSO явно сокращает количество моментов для атак, поскольку клиентам нужно реже регистрироваться и вспоминать меньше паролей. Директора могут более эффективно поддерживать меры предосторожности, такие как 2FA и надежные пароли, когда организация представляет собой единую структуру. Самое главное, что использование SSO, как правило, в любом случае безопаснее, чем его неиспользование.
Всем привет! Сегодня в статье рассмотрим установку CentOS 7 Minimal, первичную настройку сети и установку графического интерфейса под названием Mate. У нас уже есть статья и видео об установке немного иной редакции CentOS 7 – Network Edition, но при установке Minimal есть несколько тонкостей, о них – ниже.
Первое отличие в том, что образ несколько больше - 700 Мб, но это всё равно несравнимо с объемом DVD или Full редакции. Следующее отличие, вытекающее из предыдущего – отсутствует возможность выбрать дополнительный софт для установки (скриншот ниже):
В CentOS 7 также добавилась возможность включить сетевой интерфейс непосредственно во время установки – в 6 версии такого не было, однако, я дополнительно продемонстрирую самый наглядный способ настройки сетевого интерфейса в 7 версии.
Процесс установки
Итак, выполняем все шаги последовательно как указано в нашем видео и статье по установке сетевой версии данной ОС, ждём 15-30 минут и вводим свои логинпароль (предварительно подключившись через терминал).
Первым желанием было проверить, работает ли сетевой интерфейс и был ли ему назначен адрес – я ввёл команду ifconfig, и, как оказалось, данная команда на 7 версии является устаревшей и вместо неё необходимо использовать команду ipaddr для вывода информации об интерфейсах и команду iplinkдля вывода статистики на них же.
Но так все привыкли к стандартным командам пакета net-tools, его необходимо будет установить с помощью команды yum install net-tools. Однако, помня первое ощущение непонимания, когда у меня не работала сеть в минимальной инсталляции на 6 версии, я хочу дополнительно показать очень простой способ её настройки – об этом ниже.
Важно! Команда ifconfig устарела. Для сетевого взаимодействия с сервером рекомендуем пользоваться командой «ip» (ip -a), которая по функциональности (с точки зрения L2 и L3) превосходит «ifconfig».
Настройка сетевых интерфейсов с помощью nmtui
Вводим команду nmtui - в итоге должен запуститься простой графический интерфейс для настройки сети (скриншот ниже):
Я, к примеру, хочу изменить настройки единственного интерфейса – выбираем первую опцию Edit a connection и видим следующую картину:
Выбираем Edit… и делаем с интерфейсом всё, что вздумается :) Как видно на скриншоте ниже, наш сервер получил IP - адрес по DHCP – меня это устраивает и я оставлю всё как есть. Главной целью было продемонстрировать данную утилиту – nmtui
Установка MATE и необходимых пакетов
Итак, почему MATE? Ответ прост – он гораздо легче дефолтного Gnome, очень нетребователен к ресурсам и крайне прост в установке. Итак, производим несколько простых шагов по установке пакетов(ниже):
yum groupinstall "Development Tools" - установка необходимого комплекта пакетов для работы GUI (только если уже не установлены) ;
yum install epel-release - установка EPEL репозитория;
yum groupinstall "X Window system" - установка группового пакета X Window System, это займет около 5 минут. Сам пакет имеет объем 73 Мб;
yum groupinstall "MATE Desktop" - установка непосредственно Mate – довольно объемный пакет - 506 Мб;
Далее, запускаем GUI! Вводим командуsystemctl isolate graphical.target, вводим имя юзера и пароль, и видим графический интерфейс (скриншот ниже):
Если хотите чтобы система по умолчанию запускалась в графическом виде, введите команду
systemctl set-default graphical.target
rm '/etc/systemd/system/default.target'
ln -s '/usr/lib/systemd/system/graphical.target' '/etc/systemd/system/default.target'
Все мы любим компьютеры. Они могут делать столько удивительных вещей. За пару десятилетий компьютеры произвели самую настоящую революцию почти во всех аспектах человеческой жизни.
Они могут справляться с задачами различной степени сложности, просто переворачивая нули и единицы. Просто удивительно, как такое простое действие может привести к такому уровню сложности.
Но я уверен, что вы все знаете, что такой сложности нельзя добиться (практически нельзя) простым случайным переворачиванием чисел. Но за этим стоит определенные логические рассуждения. Есть правила, которые определяют, как это все должно происходить. В данной статье мы обсудим эти правила и увидим, как они управляют «мышлением» компьютера.
Что такое булева алгебра?
Это правила, о которых я упоминал выше, описываются некой областью математики, называемой булевой алгеброй.
В своей книге 1854 года британский математик Джордж Буль предложил использовать систематический набор правил для работы со значениями истинности. Эти правила положили математическую основу для работы с логическими высказываниями. А эти основы привели к развитию булевой алгебры.
Для того, чтобы понять, что из себя представляет булева алгебра, сначала мы должны понять сходства и различия между ней и другими формами алгебры.
Алгебра в целом занимается изучением математических символов и операций, которые можно выполнять над этими символами.
Эти символы сами по себе ничего не значат. Они обозначают некую величину. Именно эти величины и придают ценность этим символам, и именно с этими величинами и выполняются операции.
Булева алгебра также имеет дело с символами и правилами, позволяющими выполнять различные операции над этими символами. Разница заключается в том, что эти символы что-то значат.
В случае обычной алгебры символы обозначают действительные числа. А в булевой алгебре они обозначают значения истинности.
На рисунке ниже представлен весь набор действительных чисел. Набор действительных чисел включает натуральные числа (1, 2, 3, 4, …), положительные целые числа (все натуральные числа и 0), целые числа (…, -2, -1, 0, 1, 2, 3, …) и т.д. Обычная алгебра имеет дело со всем этим набором чисел.
Для сравнения, значения истинности состоят из набора, который включает в себя только два значения: True и False. Здесь я хотел бы отметить, что мы можем использовать любые другие символы для обозначения этих значений.
Например, в информатике, как правило, эти значения обозначают через 0 и 1 (0 используется в качестве False, 1 – в качестве True).
Вы также можете сделать это более оригинальным способом, обозначая значения истинности какими-то другими символами, например, кошки и собаки или бананы и апельсины.
Суть здесь в том, что смысл этих значений останется неизменным, как бы вы их не обозначили. Но убедитесь, что вы не меняете символы в процессе выполнения операций.
Теперь вопрос в том, что если (True и False), (0 и 1) – это просто обозначения, то что же они пытаются обозначить?
Смысл, лежащий в основе значений истинности, исходит из области логики, где значения истинности используются для того, чтобы определить, является ли высказывание «Истинным» (True) или «Ложным» (False). Здесь значения истинности обозначают соответствие высказывания истине, то есть показывают, является ли высказывание истинным или ложным.
Высказывание – это просто некоторое утверждение, что-то вроде «Все кошки милые».
Если приведенное выше высказывание верно, то мы присваиваем ему значение истинности «Истина» (True) или «1», в противном случае мы присваиваем ему значение истинности «Ложь» (False) или «0».
В цифровой электронике значения истинности используются для обозначения состояний электронных схем «включено» и «выключено». Подробнее об этом мы поговорим позже в этой же статье.
Логические операции и таблицы истинности
Как и в обычной алгебре, в булевой алгебре также можно применять операции к значениям для получения некоторых результатов. Однако эти операции не похожи на операции в обычной алгебре, поскольку, как мы уже упоминали ранее, булева алгебра работает со значениями истинности, а не с действительными числами.
В булевой алгебре есть три основные операции.
OR: OR или "ИЛИ", также известная как дизъюнкция. Эта операция выполняется над двумя логическими переменными. Результатом операции OR будет 0, если оба операнда равны 0, иначе будет 1.
Для того, чтобы более наглядно продемонстрировать принцип работы этой операции, визуализируем ее с помощью таблицы истинности.
Таблицы истинности дают нам хорошее представление о том, как работают логические операции. Также это удобный инструмент для выполнения логических операций.
Операция OR:
Переменная 1
Переменная 2
Результат
0
0
0
0
1
1
1
0
1
1
1
1
AND: AND или "И", также известная как конъюнкция. Эта операция выполняется над двумя логическими переменными. Результатом операции AND будет 1, если оба операнда равны 1, иначе будет 0. Таблица истинности выглядит следующим образом.
Операция AND:
Переменная 1
Переменная 2
Результат
0
0
0
0
1
0
1
0
0
1
1
1
NOT: NOT или "НЕ", также известное как отрицание. Эта операция выполняется только над одной переменной. Если значение переменной равно 1, то результатом этой операции будет 0, и наоборот, если значение переменной равно 0, то результатом операции будет 1.
Операция NOT:
Переменная 1
Результат
0
1
1
0
Булева алгебра и цифровые схемы
Булева алгебра после своего появления очень долго оставалась одним из тех понятий в математике, которые не имели какого-то значительного практического применения.
В 1930-х годах Клод Шеннон, американский математик, обнаружил, что булеву алгебру можно использовать в схемах, где двоичные переменные могут обозначать сигналы «низкого» и «высокого» напряжения или состояния «включено» и «выключено».
Эта простая идея создания схем с помощью булевой алгебры привела к развитию цифровой электроники, которая внесла большой вклад в разработку схем для компьютеров.
Цифровые схемы реализуют булеву алгебру при помощи логических элементов – схем, обозначающих логическую операцию. Например, элемент OR будет обозначать операцию OR. То же самое относится и к элементам AND и NOT.
Наряду с основными логическими элементами существуют и логические элементы, которые можно создать путем комбинирования основных логических элементов.
NAND: элемент NAND, или "И-НЕ", образован комбинацией элементов NOT и AND. Элемент NAND дает на выходе 0, если на обоих входах 1, в противном случае – 1.
Элемент NAND обладает свойством функциональной полноты. Это означает, что любая логическая функция может быть реализована только с помощью элементов NAND.
Элемент NAND:
Вход 1
Вход 2
Результат
0
0
1
0
1
1
1
0
1
1
1
0
NOR: элемент NOR, или "ИЛИ-НЕ", образован комбинацией элементов NOT и OR. Элемент NOR дает на выходе 1, если на обоих входах 0, в противном случае – 0.
Элемент NOR, как и элемент NAND, обладает свойством функциональной полноты. Это означает, что любая логическая функция может быть реализована только с помощью элементов NOR.
Элемент NOR:
Вход 1
Вход 2
Результат
0
0
1
0
1
0
1
0
0
1
1
0
Большинство цифровых схем построены с использованием элементов NAND и NOR из-за их функциональной полноты, а также из-за простоты изготовления.
Помимо элементов, рассмотренных выше, существуют также особые элементы, которые служат для определенных целей. Вот они:
XOR: элемент XOR, или "исключающее ИЛИ", - это особый тип логических элементов, который дает на выходе 0, если оба входа равны 0 или 1, в противном случае – 1.
Элемент XOR:
Вход 1
Вход 2
Результат
0
0
0
0
1
1
1
0
1
1
1
0
XNOR: элемент XNOR, или "исключающее ИЛИ-НЕ", - это особый тип логических элементов, который дает на выходе 1, когда оба входа равны 0 или 1, в противном случае – 0.
Элемент XNOR:
Вход 1
Вход 2
Результат
0
0
1
0
1
0
1
0
0
1
1
1
Заключение
Итак, на этом мы можем закончить обсуждение булевой алгебры. Надеюсь, что к текущему моменту у вас сложилась неплохая картина того, что же такое булева алгебра. Это, конечно, далеко не все, что вам следует знать о булевой алгебре. В ней есть множество понятий и деталей, которые мы не обсудили в данной статье.