ВЗАИМОДЕЙСТВИЕ  ПРОТОКОЛА  KERBEROS  С  ПРИЛОЖЕНИЯМИ  SAS:  УСОВЕРШЕНСТВОВАНИЕ  ПРОЦЕССА  АУТЕНТИФИКАЦИИ

Кротова  Елена  Львовна

канд.  физ.-мат.  наук,  доцент  Пермского  национального  исследовательского  политехнического  университета,  РФ,  г.  Пермь

E-mail:  lenkakrotova@yandex.ru

Феофилова  Полина  Андреевна

студент  Пермского  национального  исследовательского  политехнического  университета,  РФ,  г.  Пермь

E-mail:  feofilovap@gmail.com

Андреев  Роман  Александрович

студент  Пермского  национального  исследовательского  политехнического  университета,  РФ,  г.  Пермь

E-mail: 

KERBEROS  PROTOCOL  INTERACTION  WITH  APPLICATIONS  SAS:  IMPROVEMENT  OF  THE  AUTHENTICATION  PROCESS

Krotova  Elena

candidate  of  physical  and  mathematical  sciences,  docent  of  Perm  National  Research  Polytechnic  University,  Russia,  Perm

Feofilova  Polina

student  of  Perm  National  Research  Polytechnic  University,  Russia,  Perm

Andreev  Roman

student  of  Perm  National  Research  Polytechnic  University,  Russia,  Perm

АННОТАЦИЯ

Kerberos  является  протоколом  аутентификации,  который  встраивается  во  многие  современные  операционные  системы  и  другие  программные  приложения.  В  данной  статье  рассматривается,  как  Kerberos  используется  с  приложениями  SAS. 

ABSTRACT

Kerberos  is  an  authentication  protocol,  which  is  built  into  many  modern  operating  systems  and  other  software  applications.  This  paper  reviews  how  Kerberos  is  used  with  SAS  applications.

Ключевые  слова:  Kerberos;  SAS;  аутентификация;  приложения.

Keywords:  Kerberos;  SAS;  authentication;  applications.

SAS  (statistical  analysis  system)  —  американская  частная  компания,  разработчик  технологического  программного  обеспечения  и  приложений  класса  Business  Intelligence,  Data  Quality  и  Business  Analytics.  Основные  приложения  SAS  —  настраиваемые  системы  Business  Intelligence  для  финансового  менеджмента,  управления  рисками,  маркетинга,  управления  цепочками  поставок.  SAS  является  крупнейшей  в  мире  частной  IT-компанией,  работающей  в  области  бизнес-аналитики  [2].

Данная  тема  вызывает  интерес,  так  как  сегодня  приложения  SAS  широко  используются  в  России,  в  таких  крупных  организациях,  как  ОАО  «Мобильные  ТелеСистемы»,  ОАО  «РЖД»,  Центральный  банк  РФ  и  др.

В  этой  статье  мы  рассмотрим  протокол  аутентификации  Kerberos  и  его  взаимодействие  с  приложениями  SAS.  Кроме  того,  мы  определим  некоторые  ограничения  и  ошибки  при  использовании  проверки  подлинности  Kerberos,  и  представим  варианты  решений  этих  проблем.

Сеть  является  незащищенной  совокупностью  устройств.  Многие  протоколы  не  обеспечивают  безопасность  сети,  на  данный  момент  доступно  множество  инструментов  для  распознавания  передаваемых  паролей.  Это  значит,  что  приложения,  которые  посылают  незашифрованные  пароли,  уязвимы  от  подобного  перехвата  паролей.  Система  Kerberos  является  службой  аутентификации,  разработанной  в  рамках  проекта  Athena  в  Массачусетском  технологическом  институте  (МТИ)  [1,  с.  114].  Протокол  Kerberos  использует  стойкую  криптографию,  так  что  клиент  может  подтвердить  свою  личность  на  сервере.  После  того  как  клиент  и  сервер  использовали  Kerberos  для  идентификации,  они  могут  зашифровать  все  их  сообщения  для  обеспечения  конфиденциальности  и  целостности  данных.  Операционная  система  Microsoft  Windows  использует  протокол  Kerberos  версии  5.

Центр  распределения  ключей  (далее  KDC)  Kerberos  объединен  с  другими  службами  серверов  Microsoft  Windows  которые  запущены  на  контроллере  домена.  KDC  использует  домен  активного  каталога  (Active  Directory  Doman  Services).

Для  осуществления  аутентификации  необходимы  следующие  составляющие:  сервер  SAS,  KDC  и  приложение  пользователя  SAS.  Рассмотрим  работу  приложений  SAS  на  операционной  системе  Microsoft  Windows.

С  выходом  версии  SAS  9.2  стало  возможным  использование  Kerberos  для  аутентификации  приложений  SAS  на  операционной  системе  Microsoft  Windows.  Kerberos  регистрирует  имя  участника-службы  (далее  SPN)  для  сервера  SAS.  Для  процессов  SAS,  запущенных  на  Microsoft  Windows,  создание  SPN  происходит  напрямую.  То  есть,  когда  запускаются  процессы  SAS,  они  могут  создавать  свои  собственные  SPN. 

Формат  имени  участника-службы  менялся  с  выходом  новых  версий  SAS.  Формат  версии  SAS  9.2  —  SAS/hostname:  port  and  SAS/fully.qualified.hostname:port.  Например:

·     Сервер  метаданных(Metadata  server)  —  SAS/hostname:8561,  SAS/fully.qualified.hostname:8561 

·     Сервер  оперативного  анализа  данных  (OLAP  Server)  —  SAS/hostname:5451,  SAS/fully.qualified.hostname:5451 

Рисунок  1.  Формат  имени  участника-службы  для  SAS  9.2

В  версии  SAS  9.3  были  добавлены  еще  два  SPN.  Имя  приобрело  следующий  вид  :  SAS/hostname  and  SAS/fully.qualified.hostname.  Такой  тип  SPN  позволяет  клиенту  запрашивать  единственный  ключ  для  аутентификации. 

Рисунок  2.  Формат  имени  участника-службы  для  SAS  9.3

Наконец,  с  выходом  версии  SAS  9.4,  ни  одно  SPN  с  номером  порта  не  регистрируется.  Поэтому,  один  компьютер,  имеющий  доступ  к  серверам  SAS,  регистрирует  только  два  имени  участника-службы,  как  показано  на  рисунке  3.

Рисунок  3.  Формат  имени  участника-службы  для  SAS  9.4

Каждое  из  приложений,  таких  как  SAS®  Enterprise  Guide  или  SAS®  Management  Console  может  получить  информацию,  предоставленную  профилем  подключения,  и  создать  правильное  имя  участника-службы. 

Имея  требуемое  зарегистрированное  SPN,  Kerberos  может  взаимодействовать  с  сервером  SAS.  Сервер  SAS  также  должен  иметь  возможность  создать  ключ.  Так  как  приложения  SAS  запущены  в  операционной  системе  Microsoft  Windows,  они  могут  применять  ее  особенности  для  создания  ключей  и  авторизации  пользователей.

SAS  предлагает  протокол  Kerberos  в  качестве  одного  из  возможных  методов  аутентификации.  Но  это  не  запрещает  пользователям  и  в  дальнейшем  использовать  логин  и  пароль  для  авторизации.

Далее  мы  рассмотрим  наиболее  часто  встречающиеся  проблемы  при  использовании  протокола  Kerberos  и  предложим  их  решения.

1)  Если  SPN  не  присвоено  или  присвоено  неправильно,  то  мы  можем  наблюдать  следующие  ошибки: 

·     KDC_ERR_C_PRINCIPAL_UNKNOWN:  Клиент  не  найден  в  базе  данных  Kerberos 

·     KDC_ERR_S_PRINCIPAL_UNKNOWN:  Сервер  не  найден  в  базе  данных  Kerberos 

·     KRB_AP_ERR_MODIFIED:  Поток  сообщений  изменен

Для  устранения  этих  ошибок  нужно  использовать  команду  SETSPN,  чтобы  проверить  срок  действия  SPN,  или,  если  необходимо,  исправить  SPN  вручную. 

2)  Следующая  ошибка  появляется  при  проблеме  шифрования:

KDC_ERR_ETYPE_NOTSUPP:  Центр  распределения  ключей  не  поддерживает  данный  тип  шифрования

Здесь  нужно  учесть  тип  шифрования,  поддерживаемый  центром  распределения  ключей. 

3)  Синхронизация  по  времени  также  имеет  очень  большое  значение  для  участников  процесса  аутентификации.  Проблемы  с  синхронизацией  вызывают  следующие  ошибки:

·     KRB_AP_ERR_SKEW:  Часы  отстают  слишком  сильно

·     KRB_AP_ERR_TKT_EXPIRED:  Срок  использования  ключа  истек

·     KDC_ERR_NEVER_VALID:  Запрошенное  время  начала  установлено  позже  времени  окончания 

·     KRB_AP_ERR_TKT_NYV:  Ключ  еще  не  доступен

В  случае  этих  ошибок  нужно  синхронизировать  время  между  тремя  составляющими  Kerberos:  сервером,  центром  распределения  ключей  и  клиентом.

Протокол  Kerberos  является  стандартным  протоколом  аутентификации  для  приложений  клиент  /  сервер.  В  этой  статье  мы  показали,  как  работает  протокол  Kerberos  и  как  приложения  SAS  могут  использовать  его  для  аутентификации.

Кроме  того,  мы  рассмотрели  некоторые  из  наиболее  распространенных  проблем,  которые  возникают  при  использовании  Kerberos  и  выявили  их  решения.

Процесс  аутентификации  является  первым  огромным  шагом  в  возможности  устранения  неполадок.

Список  литературы:

1.Столлингс  В.  Основы  защиты  сетей.  Приложения  и  стандарты.  М.:  Издательский  дом  "Вильямс",  2002.  —  432  с.

2.SAS  Россия/СНГ  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.sas.com/offices/europe/russia/company/index.html  (дата  обращения:  12.05.20014).