Rozproszony system kontroli dostępu
| Pierwsze wydanie | 2005 |
|---|---|
| Wersja stabilna | 1.4.49 / 8 lutego 2023
|
| Napisane w | C z interfejsami API dla niektórych innych języków |
| System operacyjny | FreeBSD , Linuks , macOS |
| Dostępne w | język angielski |
| Typ | Bezpieczeństwo komputera |
| Licencja | Zmodyfikowana licencja Sleepycat |
| Strona internetowa |
Distributed Access Control System (DACS) to lekki system pojedynczego logowania i kontroli dostępu oparty na atrybutach dla serwerów WWW i oprogramowania serwerowego . DACS jest używany głównie z serwerami WWW Apache w celu zapewnienia rozszerzonej kontroli dostępu do stron internetowych, programów CGI i serwletów oraz innych zasobów internetowych, a także do łączenia serwerów Apache.
Wydany na licencji open source , DACS zapewnia modułową strukturę uwierzytelniania , która obsługuje szereg typowych metod uwierzytelniania oraz mechanizm autoryzacji oparty na regułach , który może przyznawać lub odmawiać dostępu do zasobów, nazwanych przez adresy URL , w oparciu o tożsamość żądającego i inne informacje kontekstowe. Administratorzy mogą skonfigurować DACS w celu identyfikacji użytkowników, wykorzystując metody uwierzytelniania i konta użytkowników, które są już dostępne w ich organizacji. Wynikowe tożsamości DACS są rozpoznawane we wszystkich jurysdykcjach DACS, które zostały sfederowane.
Oprócz prostych interfejsów API opartych na sieci Web interfejsy wiersza poleceń są również dostępne dla większości funkcji. Większość internetowych interfejsów API może zwracać dokumenty XML lub JSON .
Rozwój DACS rozpoczął się w 2001 roku, a pierwsza wersja open source została udostępniona w 2005 roku.
Uwierzytelnianie
DACS może korzystać z dowolnej z następujących metod uwierzytelniania i typów kont:
- Certyfikaty klienta X.509 przez SSL
- samodzielnie wydawane lub zarządzane karty informacyjne (InfoCards) (przestarzałe)
- uwierzytelnianie dwuskładnikowe
- Hasła jednorazowe oparte na liczniku , czasie lub siatce , w tym tokeny bezpieczeństwa
- Konta oparte na hasłach systemów uniksopodobnych
- Moduły uwierzytelniania Apache i ich pliki haseł
- Konta Windows NT LAN Manager (NTLM).
- Konta LDAP lub Microsoft Active Directory (ADS).
- konta RADIUS
- Centralna usługa uwierzytelniania (CAS)
- HTTP (np. Google ClientLogin)
- Konta oparte na PAM
- prywatne bazy danych nazwy użytkownika/hasła z mieszaniem haseł solonych przy użyciu funkcji SHA-1 , SHA-2 lub SHA-3 , PBKDF2 lub scrypt
- importowane tożsamości
- obliczone tożsamości
Rozszerzalna architektura pozwala na wprowadzanie nowych metod.
Dystrybucja DACS obejmuje różne funkcje kryptograficzne, takie jak skróty wiadomości , HMAC , szyfrowanie symetryczne i kluczem publicznym , szyfry ( ChaCha20 , OpenSSL ), podpisy cyfrowe , funkcje wyprowadzania klucza oparte na hasłach ( HKDF , PBKDF2 ) oraz funkcje uzyskiwania klucza twardego z pamięci ( scrypt , Argon2 ), z których większość jest dostępna w prostym języku skryptowym.
DACS może również działać jako dostawca tożsamości dla kart informacyjnych i działać jako strona zależna, chociaż ta funkcja jest przestarzała.
Upoważnienie
DACS przeprowadza kontrolę dostępu, oceniając reguły kontroli dostępu określone przez administratora. Wyrażone jako zestaw XML , reguły są konsultowane w czasie wykonywania, aby określić, czy dostęp do danego zasobu powinien zostać przyznany, czy zabroniony. Ponieważ reguły kontroli dostępu mogą być dowolnymi obliczeniami, łączy kontrolę dostępu opartą na atrybutach, kontrolę dostępu opartą na rolach, kontrolę dostępu opartą na zasadach, delegowaną kontrolę dostępu i inne podejścia. Architektura zapewnia administratorom wiele możliwości.
Zobacz też
- Notatki
- R. Morrison, „Kontrola dostępu do sieci 2.0” , 2007.
- J. Falkcrona, „Kontrola dostępu oparta na rolach i jednokrotne logowanie do usług internetowych” , 2008.
- B. Brachman, „Kontrola dostępu oparta na regułach: poprawa bezpieczeństwa i ułatwienie programowania dzięki strukturze autoryzacji” , 2006.
- A. Peeke-Vout, B. Low, „Infrastruktura danych przestrzennych (SDI) w pudełku, ślad do dostarczania danych geoprzestrzennych za pośrednictwem aplikacji typu open source” , 2007.