Доступ к Облаку
Доступ к Облаку (здесь и далее по тексту -- Лектио) -- это часть урока Облако в Интернете. В Брацкой Школе, уроки делятся на так называемые лектио, каждое из которых состоит из микролекции и одного или нескольких заключительных вопросов. Урок, в свою очередь, относится к курсу Техобзорны Курс.
Содержание
Материалы
Предшественник этого Лектио -- Система Поддоменов.
Иллюстрации
Текст
Доступ к Облаку
В Брацком Облаке, Оплёт отвечает за предоставление доступа к различным ресурсам. Как Оплёт идентифицирует пользователей?
При регистрации, пользователи Облака предоставляют имя пользователя (login name или просто login) и пароль. Когда Вы заходите на любую приладу Облака, эта прилада запрашивает Оплёт существует ли такой пользователь в системе. Это возможно благодаря облачному каталогу пользователей Оплёта. Этот каталог построен на базе программного обеспечения OpenLDAP и использует легковесный протокол доступа к каталогу (lightweight directory access protocol или LDAP) для связи с приладами.
Пароли ненадёжны. Они -- несовершенная форма защиты. Согласно некоторым опросам, люди в среднем создают около 150 учётных записей в различных системах и при этом используют около 5 паролей.
Можно догадаться, что пароли взламываются и крадутся. Говорят, что профессиональному хакеру требуется не более 5 с половиной часов, чтобы взломать обычный пароль. Однако трудно себе представить, что кто-то будет "ломать" пароль ученика Техобзорна Курса, например. Поэтому пароль -- разумное решение на данном этапе.
В то же время, администраторы Облака имеют доступ к конфиденциальной информации. Чтобы предотвратить утечку ценных ресурсов, необходим второй метод аутентификации. Этот принцип называется многофакторная аутентификация (multi-factor authentication или MFA). После попытки входа по паролю, администратора просят подтвердить либо получение текстового сообщения, либо имэйла).
В дополнение, Брацки Техсовет планирует ввести в Оплёт такие функции, как единый вход, расширенный каталог и привилигированные учётные записи.
Сейчас, Вы можете войти в разные прилады используя то же имя и пароль. Однако в каждой приладе надо авторизоваться отдельно. Eдиный вход (single sign-on или SSO) упрощает процесс авторизации и делает его более безопасным. Когда эта функция будет реализована, не надо будет вводить пароль снова и снова. Каждый ваш вход в систему будет инициировать ваш сеанс с Брацким Облаком и Вы сможете переключаться между различными приладами без дополнительного ввода ваших учетных данных.
Расширенный каталог призван увеличить возможности существующего каталога. А именно, добавить другие протоколы к существующему легковесному и повысить безопасность передачи пользовательских данных.
Несмотря на многофакторную авторизацию, существующий каталог не обеспечивает максимальную безопасность и создаёт уязвимость для управления критически важными системами, такими как базы данных и сетевая инфраструктура. Привилегированное управление учетной записью призвано восполнить этот пробел. Новая система обеспечивает более строгий контроль доступа, включая возможность управлять системами и строго контролировать доступ к ценным компьютерным ресурсам.
Термины
Вопрос(ы)
- Хотели бы вы поработать над SSO в Брацкой Школы? -- Да / Нет / Пойдем пока
Навигация в Облаке -- следующее лектио.
