Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.

Slides:



Advertisements
Hasonló előadás
Windows Communication Foundation (WCF)
Advertisements

Dolgozni már bárhonnan lehet…
64 bites architektúra, csapdák és átjárók Tóth Sándor Terméktámogatási tanácsadó.
Hitelesítés és tanúsítványkezelés
Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Social Networking alkalmazás fejlesztése ASP.NET 3.5-tel Árvai Zoltán Consultant, Trainer Számalk Oktatóközpont.
Miről lesz szó?  Office Add-in for Moodle  Microsoft Live Service Plugin for Moodle  Moodle SharePoint integráció.
Active Directory.
- Virtualizációt az asztalra!
Korszerű kommunikációs infrastruktúrák
Az Internet elemei és hozzáférési technológiái Az Internet architektúrája.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Az ETR technológia DEXTER Informatikai kft..
Entity framework Krizsán Zoltán
Készítette: Erdősi Lajos
Közös kinézet Mester oldal, témák, skin-ek, css Webalkalkalmazás fejlesztése ASP.NET-ben Krizsán Zoltán.
ASP.NET „röviden” Krizsán Zoltán ver: 0.2.
Biztonságos SQL Server
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás ISA Server MVP.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
SharePoint Adminisztráció
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Modularizált felépítés SzervermenedzsmentBiztonságDiagnosztika FTP szerver Finom fejlesztések Közös konfiguráció.
Windows Server 2008 előnyök hoszterek számára. Agenda Windows Server 2008 áttekintése IIS 7.0 áttekintése Windows 2008 tulajdonságai Virtualizáció (Hyper-V)
Egyszerű webes alkalmazás fejlesztése Készítette: Simon Nándor.
Egyszerű webes alkalmazás fejlesztése
A KFKI AFS szolgáltatás Hernáth Szabolcs MTA KFKI RMKI
WEB MES (webes gyártásirányító rendszer)
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
SQL 2012 TKOC Magas Rendelkezésreállás II. Király István Microsoft Certified Trainer Microsoft Certified Systems Engineer.
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Microsoft BI technológiák az eszközmenedzsment szolgálatában
Exchange Server 2007 Client Access Role
ARCHITECTArchitect AcademyFoundationsInsidersMCPtréningekvizsgákgyakorlatprojektek Novák István eEvangelist – „Dive deeper” Grepton Zrt. Technológiai vezető.
Bátyai Krisztián NetAcademia Oktatóközpont oktató, fejlesztő MCT, MCPD
Az ASP.NET programozási modell Ez az előadó neve beosztása vállalata.
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
Gincsai Gábor MSDN Kompetencia Központ Budapesti Műszaki és Gazdaságtudományi Egyetem Automatizálási és Alkalmazott Informatikai Tanszék.
1 Hernyák Zoltán Programozási Nyelvek II. Eszterházy Károly Főiskola Számítástudományi tsz.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Windows 2000 biztonság a gyakorlatban Pusztai László vezető konzulens Microsoft Magyarország.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
1 Verseny 2000 gyakorlat ODBC Adatforrás létrehozása.
{ PKI } Active Directory Certificate Services
Varga Viktor – G36ECF 1/5 Vendéglátói szoftverek sajátosságai Varga Viktor.
Automatizálási folyamatok az SQL 2012-ben
Network Access Protection
Exchange Rendszerkövetelmények Windows Server 2003 (Windows 2000 SP3) CPU 500 MHz RAM 512 MB 200 MB a rendszermeghajtón 500 MB a telepítés helyén.
User Account Management Endrődi Tamás (MCT, MCP, MCITP) GDF Informatikai Intézet vezetője SZÁMALK Oktatóközpont.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
User Profiles Endrődi Tamás (MCT, MCP, MCITP) GDF Informatikai Intézet vezetője SZÁMALK Oktatóközpont.
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Bevezetés az informatikába 11. előadás Internet. Egyetlen nagy egységes elveken működő világhálózat hálózatok összekapcsolása nagy világhálóvá csomagkapcsolt.
Oracle Label Security OLS. Szintek Kategóriák.
Adatbázisok védelme. Database security Nem más, mint annak garantálása, hogy feljogosított felhasználó engedélyezett tevékenységeket hajtson végre, számára.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Irány a felhő Előnyök, tapasztalatok Sárdy Tibor
Előadás másolata:

Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó

Autentikáció Egy folyamat, amelyben igazolja magát a „felhasználó”. Egy folyamat, amelyben igazolja magát a „felhasználó”. Hol van, hol nincs? Hol van, hol nincs?  Végezhetem „magam” (Az alkalmazás)  Jobb, ha másra bízom (OS)

Autorizáció Egy folyamat amelyben eldől, hogy egy már igazolt „felhasználó” jogosult-e, vagy sem elérni egy adott erőforrást. Egy folyamat amelyben eldől, hogy egy már igazolt „felhasználó” jogosult-e, vagy sem elérni egy adott erőforrást. Tehát mindig az autentikációt követi. Tehát mindig az autentikációt követi.

Autentikációs metódusok OS OS  Kerberos  NTLM Egyedi Egyedi  Basic  Digest  Form  Certificate  Passport  Alkalmazásegyedi (SQL Server)

Technológiák... TechnológiaAuthenticationAuthorizationBiztonságos kommunikációs IISAnonymous Basic Digest Windows Integrated (Kerberos/NTLM) Certificate IP/DNS Address Restrictions Web Permissions NTFS Permissions ACLs SSL Asp.NETNone (Custom) Windows Forms Passport File Authorization URL Authorization Principal Permissions.Net Roles Enterprise ServicesWindowsEnterprise Services (COM+) Roles NTFS Permissions RPC Encryption SQL Server 2000Windows SQL Authentication Server logins Database logins Fixed database roles User defined roles Application roles Object permissions SSL Windows 2000/2003Kerberos NTLM Windows ACLsIPSec

Mi, mivel jár? BasicDigestNTLMKerberosCertsFormsPassport Domain accounttal kell rendelkeznie a felhasználónak Igen Nem Támogatja a delegálást Igen Nem Igen Lehet Igen Szükséges Win2K (vagy újabb) kliens és szerver Nem Igen Nem Igen Nem Clear Text (requires SSL) Igen Nem Igen Nem Supports non-IE browsers Igen Nem Igen

Hol találkozik velük az Üzemeltető leginkább ? File rendszer File rendszer SQL Server SQL Server COM+ COM+ IIS (ASP.NET) IIS (ASP.NET)

Nézzünk egy kis Webet!

Hol vagyunk? Internet? Internet? Intranet? Intranet? Extranet? Extranet?

Mibe ütközhetünk? IIS, ASP, ASP.Net (IWAM_xxx, IUSR_xxx, ASPNET_WP.exe, W3WP.exe) IIS, ASP, ASP.Net (IWAM_xxx, IUSR_xxx, ASPNET_WP.exe, W3WP.exe) COM+ COM+.Net Framework Policy-k (Code Access Security).Net Framework Policy-k (Code Access Security) Nincs több Hopp(á)? Nincs több Hopp(á)? Tűzfal? Tűzfal?

Intranet Security

Internet Security

Extranet Security

Adatbázis réteg

„Ki” érje el a háttér rendszert? „Trusted SubSystem” Modell

„Ki” érje el a háttér rendszert? „Multiple Trusted Identity” Modell

„Ki” érje el a háttér rendszert? „ Impersonation / Delegation Model” Modell

Impersonation szintek Anonymous Anonymous  A szerver számára anoním a kliens Identify Identify  ACL ellenőrzés Impersonate Impersonate  Thread és Process más security context-ben működik, a process más nevében is végezhet műveleteket Delegation Delegation  Impersonate speciális esete, Network elérés

Original Caller -> Back-End Impersonation / Delegation Model Impersonation / Delegation Model  ASP.NET process delegálhasson (AD)  Eredeti hívót delegálni lehessen (AD) Előnyök Előnyök  ACL-eket használhatunk  Háttérrendszerben jól specifikált jogok Hátrányok Hátrányok  Háttérrendszereken több adminisztráció  Rosszabb skálázhatóság (Connection Pooling)  A rétegek közötti User Context mozgatás sokba kerül (teljesítmény) Buktató Buktató  IE Windows 2000 alapértelmezés szerinti autentikáció: NTLM (kb )

ASP.NET Process A lehető legkevesebb jog! (Feladat függő) A lehető legkevesebb jog! (Feladat függő) A User Identity legyen a registry- ben titkosítva A User Identity legyen a registry- ben titkosítva  aspnet_setreg.exe  HOW TO: Use the ASP.NET Utility to Encrypt Credentials and Session State Connection Strings ( spx?scid=329290) Ha már belelendültünk, tegyük oda az SQL Connection Stringet is! Ha már belelendültünk, tegyük oda az SQL Connection Stringet is!

Enterprise Services réteg

Active Directory IIS 6.0 ASP.NET COM+ SQL Server 2000 A DEMO-környezet felépítése

Demo I. IIS – FileServer (Lokális és share elérés ASP.NET-ből) \\Win2kDC\OpConf\ListItems.txt C:\inetpub\wwwroot\OpConfVDemo1\ListItems.txt

Demo I. Windows autentikáció az IIS-en Windows autentikáció az IIS-en Erőforrás elérés „Trusted” módon Erőforrás elérés „Trusted” módon Erőforrás elérés „megszemélyesítve” Erőforrás elérés „megszemélyesítve”

IE -> ASP.NET -> Resource (SQL, NTFS…) IIS IIS  Anonymous Access  Integrated Windows Authentication ASP.NET ASP.NET<configuration> </configuration>

Demo II. IIS – COM+ – SQL Server IIS – COM+ – SQL Server SQL Server communication protocols SQL Server communication protocols  TCP/IP (Socket)  Named Pipe (File kezelés) Kapcsolatuk az autentikációval Kapcsolatuk az autentikációval Hogyan legyen SQL server +secure- va? Hogyan legyen SQL server +secure- va?

Demo II. Windows autentikáció az IIS-en Windows autentikáció az IIS-en Erőforrás elérés „Trusted” módon Erőforrás elérés „Trusted” módon Erőforrás elérés „megszemélyesítve” Erőforrás elérés „megszemélyesítve” COM+ autorizáció COM+ autorizáció SQL felé SSL, ha az adatok „fontosak” SQL felé SSL, ha az adatok „fontosak”

Tűzfal IIS – Tűzfal (ISA) – COM+ – SQL Server IIS – Tűzfal (ISA) – COM+ – SQL Server Bajok: Bajok:  AD bent - IIS kinn, kívül hogy authentikáljunk?  Ementáli  Külső „címtár”  IIS bent

Diagnosztikai eszközök, módszerek Debug Build !!!! (Logolás) Debug Build !!!! (Logolás) Perfmon Perfmon EventLog EventLog SQL Audit logok SQL Audit logok SQL Profiler SQL Profiler COMSpy COMSpy IIS Log (Log Parser) * IIS Log (Log Parser) * NetMon NetMon