本节描述了在一个安全的网络中,PremierAccess用来允许用户访问被保护资源的各种Agents。
Agent是安装在网络中服务器上的一个软件模式。Agent的角色是用户认证点(UAPs),它和PremierAccess的AAA服务器通过EASSP协议通讯。
Agent可以运用在许多大众的网络环境中:Windows或NT (NT RAS,NT主域控制器(PDC)和Citrix)、UNIX
Solaris (SSH和PAM)、Novell和RADIUS servers。
下面图7 描述了在一个的访问请求中单一的用户和Agent之间的相互影响。用户试图去访问她的公司的Web服务器(1),该Web服务器由PremierAccess所保护,PremierAccess支持的Agent作为一个UAP,是该处的登录文本。Agent
截获请求(2)并把请求(包括目标主机名)发送到AAA服务器(3)。如果用户试图用她的浏览器去访问受保护的页面,数字证书和CV
Server就使证书生效。而用户则不再需要做什么。如果是UNIX环境,Agent会持有用户名,并传送到AAA服务器,在这种情况下,用户也不需要做什么。
AAA服务器察看目录服务器确定这种资源应该使用哪种的认证(4)。目录服务器的数据库显示该Web服务器的访问应该使用固定密码(5),并将该信息返回到AAA服务器。AAA服务器这时指示Agent发布挑战信息(6),收集用户ID和密码。
图7 用户与Agent之间的相互影响
Agent显示对话框,提示用户输入用户ID和口令(7),然后它们作为认证应答信息传回给AAA服务器。这个信息再传回到目录服务器(9)进行确认。目录服务器确认了这一信息后,将认证结果信息再传回到AAA(10),AAA指示Agent向用户(11)显示认证成功的信息。用户现在已经被认证,根据目录服务器中的信息,准许对Web服务器进行访问。与Web服务器之间的连接实现(12)。
表格1-2“支持的Agent”是对目前PremierAccess支持的所有Agent的简要描述。SafeWord
Deployment CD中含有这些Agent的安装软件和说明文件。
提示:定期会有新的Agent加入到下面列表中,在www.securecomputing.com上可以获得PremierAccess支持的新的Agent的名单。
表2 PremierAccess支持的Agent
Agent
|
描述 |
| Universal Web Agent(UWA) |
UWA是一个反向代理,它位于用户的浏览器和Web应用(放置在受PremierAccess保护的服务器中)之间的数据流之中。
要想了解更详细的UWA资料,请参考Universal Web Agent and Web Login
Server Administration Guide。
|
| SafeWord ID 2 (SID2)
|
SID2是一个SafeWord登录程序,用来代替或加强操作系统现有登录程序。SID持有用户名和口令,并与PremierAccess
Server进行通讯来认证用户。
要想了解更详细的SID2的资料,请参考SafeWord ID 2(SID) Administration
Guide。
|
| Citrix的SafeWord Agent |
针对Citrix的SafeWord Agent是一个加强Citrix环境安全性的附加品,它为远程和控制台用户的登录尝试提供SafeWord认证。
要想了解Citrix的更多信息,请参考SafeWord Agent for Citrix Administration
Guide。
|
| Windows域的SafeWord认证Agent |
针对Windows域的SafeWord认证Agent能够让一个公司安全地访问使用SafeWord认证技术、基于域的网络。
想了解更多的针对Windows域的SafeWord认证Agent,请参考SafeWord Authentication
Agent for Windows Domains Administration Guide。
|
PAM的SafeWord Agent
|
插入式的认证单元(PAM,Pluggable Authentication Module)是允许需要认证和其他安全服务的应用运用一般方式去访问这些服务的一个体系。使用PAM,认证服务的更新就可以不必靠重新编写程序来利用提高了的或是新的技术了。支持PAM这一特性是与运行2.6版本的Sun’s
Solaris操作系统兼容的。SafeWord的PAM支持允许你在Sun或其他公司提供的与PAM兼容的应用(例如登录、telnet或ftp)中使用SafeWord认证。
要了解更多的PAM信息,请参考SafeWord Agent for PAM Administration
Guide。
|
| 针对NT RAS的SafeWord服务 |
通过SafeWord的认证服务器来认证用户,针对RAS的SafeWord服务能够保护Microsoft
NT RAS拨号连接的访问。针对RAS的SafeWord服务持有用户的ID和口令,可以使用PremierAccess认证用户。
|
| SafeWord Secure Shell
(SSH) |
SafeWord Secure Shell针对网络上对UNIX机器的远程访问提供安全机制。SSH的所有权和版权完全归F-Secure公司
(www.f-secure.com)、即以前的Data Fellows, Ltd.公司所有。要想获得SSH的商业应用许可,请与F-Secure公司联系。
SSH以客户端/服务器这一模型为基础,其中运行SSH客户端的当地机器和运行SSH Server的远程机器之间的连接已经建立起来。这一连接是在当地和远程机器相互认证以后建立起来的,连接是安全的,因为通过它传输的数据是加密的。当地和远程机器用来相互确认身份的认证机制是RSA的公钥算法,另外还运用很多对称加密算法(例如DES、Triple
DES和IDEA等)在数据传输以前来加密数据。认证和加密的强度共同保证了SSH对话的安全。
SSH一般用来替代telnet和rlogin。SSH非常安全,用户ID和口令不以明文形式传输,所以使用SSH的X-Windows对话也是绝对安全的。因为SSH提供了数据传输必要的安全通道,也可以保证固定端口的http、POP3等服务的安全。这种方法,叫做端口转移,由用户设立,在客户端机器选定的TCP/IP端口和服务器上特定的TCP/IP端口之间建立一个安全的连接。
|
| 针对 Novell Modular认证服务的SafeWord
Agent(NMAS)
|
针对NMAS的SafeWord Agent是设计用来帮助你保护网络上的信息。它为NetWare5网络带来了额外的认证方式,帮助你确定访问你的网络的人的身份。
NMAS通过ConsoleOne snap-in的一个组件来管理。ConsoleOne 是用Java编写的,一个针对NDS管理的基于GUI的体系。某些ConsoleOne的特殊页面允许你管理登录方式、登录方式的使用次序和与登录方式有关的安全级别(分级认证)。
|
