20 Июл 10 Создание SSL сертификатов для связки Apache и mod_ssl

Короткий рассказ об SSL

Эта глава будет очень коротким введением в SSL, Secure Socket Layer. Криптография очень обширная тема, которая составляет буквально тома материалов. Последующий материал . это очень упрощенный взгляд на то, как реализован SSL и какую роль сертификаты играют в рассматриваемом нами случае. В силу того, что информация намеренно упрощена, возможны небольшие неточности.

Обычный веб-траффик идет через Интернет незашифрованным. Таким образом, любой, кто имеет доступ к нужным инструментам, может наблюдать за нужным ему трафиком. Очевидно, что это может привести к проблемам, особенно в тех случаях, когда необходимы безопасность и приватность, например при работе с кредитками или в банковских транзакциях. Протокол SSL используется для шифрования трафика между веб-сервером и веб-клиентом (браузером).

SSL использует асимметричную криптографию, обычно известную как криптография с открытым ключом. В криптографии с открытым ключом создаются два ключа, одни публичный . другой секретный. Все зашифрованное с помощью одного ключа может быть расшифровано только с помощью другого. То есть данные, которые были зашифрованы секретным ключом сервера могут быть дешифрованы только с помощью публичного ключа этого же сервера, давая уверенность что, данные пришли оттуда откуда надо.

Если SSL использует криптографию с открытым ключом, для того чтобы шифровать поток данных идущих через Интернет, зачем же тогда нужен сертификат? Технический ответ на этот вопрос, такой, что сертификат на самом деле не нужен . данные зашифрованы и вряд ли могут быть дешифрованы третьей стороной. Однако сертификаты играют важную роль в коммуникационном процессе. Сертификат, подписанный доверенным СА (Certificate Authority), дает гарантию, что владелец сертификата . тот за кого он себя выдает. Без подписанного сертификата ваши данные будут зашифрованы, однако, сервер, с которым вы контактируете может быть не тем о котором вы думаете. Без сертификатов такие нарушения могут быть часты.

Генерация частного ключа и CSR

Программный пакет openssl может быть использован для генерации приватного RSA ключа и создания CSR. Он так же может быть использован для создания самоподписных сертификатов которые могут быть использованы для тестовых целей или внутреннего пользования. Программа, которая обычно используется для решения этих задач, известна как openssl. Она должна быть установлена в директории /usr/local/ssl. Может быть, вам придется добавить эту директорию в переменную PATH или же переместить эту программу в директорию, которая уже прописана в переменной PATH, для того чтобы не писать полный путь. Дальнейшие примеры полагают, что openssl доступен вам без необходимости писать полный путь. (далее…)

Tags: Apache, Certificate Authority, CSR, openssl, Secure Socket Layer, SSL, генерация ssl сертификатов, Генерация самоподписанного сертификата, Генерация частного ключа и CSR, использующего SSL., конфигурация, Конфигурирование виртуального хоста, Установка ключа и сертификата

19 Апр 10 Проверка подлинности клиентов Linux с помощью Active Directory

Республиканцы и демократы. Зубная паста и апельсиновый сок. Linux и Windows. Некоторые вещи просто не сочетаются друг с другом, верно? Каждый центр ИТ, с которым я имел дело, был разбит на два лагеря: команды Windows и команды Linux. Они не особенно конкурируют друг с другом, но определенно и не сотрудничают. В некоторых местах дело даже доходит до проведения желтой полосы по полу, чтобы точно исключить неприлично тесные отношения между двумя группами.
Я принадлежу к стану Windows, и мне определенно приходилось подтрунивать над моими ориентированными на Linux коллегами, но всех нас объединяет цель предоставления организации качественных и рентабельных услуг ИТ. Один из способов сделать это – совместное использование базовой программной инфраструктуры, такой как Active Directory. Почти что все организации ИТ остановились на Active Directory для предоставления служб проверки подлинности своим настольным компьютерам и серверам под управлением Windows. Не было бы лучше, если б вместо предоставления отдельной инфраструктуры проверки подлинности среде Linux (вместе с отдельным набором имен пользователей и паролей) компьютеры Linux тоже использовали бы Active Directory? Я думаю, что было бы, и в данной статье я покажу, как этого добиться.

Проверка подлинности Windows

Windows уже довольно давно поставляется в комплекте с интегрированной системой сетевой проверки подлинности и единого входа. До Windows 2000 контроллеры доменов Windows NT предоставляли клиентам Windows службы проверки подлинности, используя протокол NTLM. Хотя NTLM не был так защищен, как казалось первоначально, он был очень полезен, поскольку давал удобное решение проблеме необходимости поддерживать дубликаты учетных записей пользователя на различных серверах сети.
Начиная с Windows 2000, корпорация Майкрософт перешла с NTLM на Active Directory и ее интегрированные службы проверки подлинности Kerberos. Kerberos был значительно защищеннее NTLM, а также лучше масштабировался. К тому же, Kerberos был стандартом отрасли, уже используемым системами Linux и UNIX, что открыло врата интеграции этих платформ с Windows.

Проверка подлинности Linux

Первоначально Linux (а также средства и библиотеки GNU, работавшие на нем) не рассчитывался на единый механизм проверки подлинности. Как следствие этого, разработчики приложений Linux обычно брались за разработки собственных схем проверки подлинности. Им удавалось добиться этого либо за счет поиска хэш-кодов имен и паролей в /etc/passwd (текстовом файле, традиционно содержащем учетные данные пользователей Linux) или предоставления совершенно иного (и отдельного механизма).
Получившийся ассортимент механизмов проверки подлинности был неуправляемым. В 1995 г. компания Sun предложила механизм, именуемый подключаемыми модулями проверки подлинности (Pluggable Authentication Modules – PAM). PAM предоставляли общий набор интерфейсов API проверки подлинности, который мог использоваться всеми разработчиками приложений, а также настраиваемый администратором серверный элемент, позволяющий использовать различные «подключаемые» схемы проверки подлинности. Использование интерфейсов API PAM для проверки подлинности и интерфейсов API переключателя сервера имен (Name Server Switch – NSS) для поиска сведений о пользователе позволило разработчикам приложений Linux писать меньше кода, а администраторам Linux управлять процессом проверки подлинности и настраивать его из одного места. (далее…)

Tags: Active Directory, DHCP, DNS, Kerberos, LDAP, Linux, NSS, NTLM, PAM, Samba, SSL, Winbind, настройка, Настройка PAM и NSS, Настройка протокола NTP, Настройка работы Linux с сетью, Настройка синхронизации времени в Linux, Проверка подлинности Linux, Проверка подлинности Windows, Сопоставление RID, Установка и настройка Samba