Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó

Autentikáció Egy folyamat, amelyben igazolja magát a „felhasználó”. Egy folyamat, amelyben igazolja magát a „felhasználó”. Hol van, hol nincs? Hol van, hol nincs?  Végezhetem „magam” (Az alkalmazás)  Jobb, ha másra bízom (OS)

Autorizáció Egy folyamat amelyben eldől, hogy egy már igazolt „felhasználó” jogosult-e, vagy sem elérni egy adott erőforrást. Egy folyamat amelyben eldől, hogy egy már igazolt „felhasználó” jogosult-e, vagy sem elérni egy adott erőforrást. Tehát mindig az autentikációt követi. Tehát mindig az autentikációt követi.

Autentikációs metódusok OS OS  Kerberos  NTLM Egyedi Egyedi  Basic  Digest  Form  Certificate  Passport  Alkalmazásegyedi (SQL Server)

Technológiák... TechnológiaAuthenticationAuthorizationBiztonságos kommunikációs IISAnonymous Basic Digest Windows Integrated (Kerberos/NTLM) Certificate IP/DNS Address Restrictions Web Permissions NTFS Permissions ACLs SSL Asp.NETNone (Custom) Windows Forms Passport File Authorization URL Authorization Principal Permissions.Net Roles Enterprise ServicesWindowsEnterprise Services (COM+) Roles NTFS Permissions RPC Encryption SQL Server 2000Windows SQL Authentication Server logins Database logins Fixed database roles User defined roles Application roles Object permissions SSL Windows 2000/2003Kerberos NTLM Windows ACLsIPSec

Mi, mivel jár? BasicDigestNTLMKerberosCertsFormsPassport Domain accounttal kell rendelkeznie a felhasználónak Igen Nem Támogatja a delegálást Igen Nem Igen Lehet Igen Szükséges Win2K (vagy újabb) kliens és szerver Nem Igen Nem Igen Nem Clear Text (requires SSL) Igen Nem Igen Nem Supports non-IE browsers Igen Nem Igen

Hol találkozik velük az Üzemeltető leginkább ? File rendszer File rendszer SQL Server SQL Server COM+ COM+ IIS (ASP.NET) IIS (ASP.NET)

Nézzünk egy kis Webet!

Hol vagyunk? Internet? Internet? Intranet? Intranet? Extranet? Extranet?

Mibe ütközhetünk? IIS, ASP, ASP.Net (IWAM_xxx, IUSR_xxx, ASPNET_WP.exe, W3WP.exe) IIS, ASP, ASP.Net (IWAM_xxx, IUSR_xxx, ASPNET_WP.exe, W3WP.exe) COM+ COM+.Net Framework Policy-k (Code Access Security).Net Framework Policy-k (Code Access Security) Nincs több Hopp(á)? Nincs több Hopp(á)? Tűzfal? Tűzfal?

Intranet Security

Internet Security

Extranet Security

Adatbázis réteg

„Ki” érje el a háttér rendszert? „Trusted SubSystem” Modell

„Ki” érje el a háttér rendszert? „Multiple Trusted Identity” Modell

„Ki” érje el a háttér rendszert? „ Impersonation / Delegation Model” Modell

Impersonation szintek Anonymous Anonymous  A szerver számára anoním a kliens Identify Identify  ACL ellenőrzés Impersonate Impersonate  Thread és Process más security context-ben működik, a process más nevében is végezhet műveleteket Delegation Delegation  Impersonate speciális esete, Network elérés

Original Caller -> Back-End Impersonation / Delegation Model Impersonation / Delegation Model  ASP.NET process delegálhasson (AD)  Eredeti hívót delegálni lehessen (AD) Előnyök Előnyök  ACL-eket használhatunk  Háttérrendszerben jól specifikált jogok Hátrányok Hátrányok  Háttérrendszereken több adminisztráció  Rosszabb skálázhatóság (Connection Pooling)  A rétegek közötti User Context mozgatás sokba kerül (teljesítmény) Buktató Buktató  IE Windows 2000 alapértelmezés szerinti autentikáció: NTLM (kb )

ASP.NET Process A lehető legkevesebb jog! (Feladat függő) A lehető legkevesebb jog! (Feladat függő) A User Identity legyen a registry- ben titkosítva A User Identity legyen a registry- ben titkosítva  aspnet_setreg.exe  HOW TO: Use the ASP.NET Utility to Encrypt Credentials and Session State Connection Strings ( spx?scid=329290) Ha már belelendültünk, tegyük oda az SQL Connection Stringet is! Ha már belelendültünk, tegyük oda az SQL Connection Stringet is!

Enterprise Services réteg

Active Directory IIS 6.0 ASP.NET COM+ SQL Server 2000 A DEMO-környezet felépítése

Demo I. IIS – FileServer (Lokális és share elérés ASP.NET-ből) \\Win2kDC\OpConf\ListItems.txt C:\inetpub\wwwroot\OpConfVDemo1\ListItems.txt

Demo I. Windows autentikáció az IIS-en Windows autentikáció az IIS-en Erőforrás elérés „Trusted” módon Erőforrás elérés „Trusted” módon Erőforrás elérés „megszemélyesítve” Erőforrás elérés „megszemélyesítve”

IE -> ASP.NET -> Resource (SQL, NTFS…) IIS IIS  Anonymous Access  Integrated Windows Authentication ASP.NET ASP.NET<configuration> </configuration>

Demo II. IIS – COM+ – SQL Server IIS – COM+ – SQL Server SQL Server communication protocols SQL Server communication protocols  TCP/IP (Socket)  Named Pipe (File kezelés) Kapcsolatuk az autentikációval Kapcsolatuk az autentikációval Hogyan legyen SQL server +secure- va? Hogyan legyen SQL server +secure- va?

Demo II. Windows autentikáció az IIS-en Windows autentikáció az IIS-en Erőforrás elérés „Trusted” módon Erőforrás elérés „Trusted” módon Erőforrás elérés „megszemélyesítve” Erőforrás elérés „megszemélyesítve” COM+ autorizáció COM+ autorizáció SQL felé SSL, ha az adatok „fontosak” SQL felé SSL, ha az adatok „fontosak”

Tűzfal IIS – Tűzfal (ISA) – COM+ – SQL Server IIS – Tűzfal (ISA) – COM+ – SQL Server Bajok: Bajok:  AD bent - IIS kinn, kívül hogy authentikáljunk?  Ementáli  Külső „címtár”  IIS bent

Diagnosztikai eszközök, módszerek Debug Build !!!! (Logolás) Debug Build !!!! (Logolás) Perfmon Perfmon EventLog EventLog SQL Audit logok SQL Audit logok SQL Profiler SQL Profiler COMSpy COMSpy IIS Log (Log Parser) * IIS Log (Log Parser) * NetMon NetMon