شبکه چیست ؟ قسمت سوم آشنایی با LSD و Authentication و Authorization

1 809

در قسمت قبلی در خصوص اینکه شبکه ها از لحاظ مدیریت و سرویس دهی به دو دسته تقسیم بندی می شوند صحبت کردیم در این مطلب میخواهیم در خصوص Authentication  یا احراز هویت و LSD (Local Security Database) صحبت کنیم ، همانطور که میدانید احراز هویت ها برای امنیت سیستم ها در شبکه ضروری است پس با ما همراه باشید تا در ادامه این ضرورت ها را بهتر بشناسیم

تفاوت Authentication و Authorization چیست؟

Authentication در معنی احراز هویت نام برده میشود و Authorization مجوز معنی میگردد و به صورت خیلی کلی و جامع میتوان در تعریف این دو واژه اینگونه گفت که Authentication همان شناسایی هویت برای تشخیص کاربر (معتبر بودن نام کاربری، رمز عبور) می باشد و  Authorization برای تشخیص سطح دسترسی کاربر به اطلاعات می باشدکه به منظور جلوگیری از دسترسی افراد غیر مجاز به منابع و داده های حفاظت شده می باشد.
در خصوص تفاوت Authentication و  Authorization میتوان گفت وظیفه Authentication این است که کاربر کیست و آیا واقعا همان کسی است که ادعا می کند؟ ولی Authorization  مجموعه مجوز ها یا Policy هایی است که به یک کاربری که احراز هویت شده است به عبارتی میتوان گفت آیا این کاربری که هویتش مشخص شده است (کاربر مجاز) چه کار هایی می تواند انجام دهد و به چه قسمت هایی از سیستم و به چه داده هایی می تواند دسترسی داشته باشد. پس با این حساب در وهله اول Authentication برقرار میشود و در مرحله بعدی Authorization چک میشود.

Authentication چیست؟

در خصوص شبکه هایی که به صورت WorkGroup است مثالی میزنم جهت آشنایی با Authentication بین سیستم ها ، فرض کنیم میخواهیم به بانک مراجعه کنیم آیا در بدو ورود به بانک شخصی سوال می پرسد که شما وارد بانک میشوید برای چه منظور؟ همانطور که پاسخ روشن است هیچ مانعی برای ورود به بانک وجود ندارد اما برای هر عملیاتی در پشت باجه باید کارت شناسایی یا همان کارت ملی خود را ارائه دهیم و این یعنی Authentication یا احراز هویت اگر از بانک خارج شویم و مجدداً بخواهیم برای یک کار دیگر به همان بانک مراجعه کنیم باز هم کارت ملی برای احراز هویت لازم است پس Authentication در هر مرحله باید برقرار گردد.دقیقاً در شبکه های Work Group همین اتفاق سپری میشود و هر سری باید این عملیات معرفی انجام شود پس هر کاربری برای کار کردن در شبکه باید خودش رو به سیستم معرفی کند کامپیوتر در هنگام برقراری session از سمت کاربر هنگام اتصال و در لحظه ورود هر شخص نام کاربری و رمز عبور کاربران را می پرسد سیستم مقابل نام کاربری و پسورد را بررسی میکند آن در صورتی که آن فرد شناخته شده باشد درخواست راه یافتن آن به سیستم پذیرفته می شود که به این کار Authentication گفته میشود، دقت کنید برای هر فعالیتی در شبکه لازم است یک نام کاربری و حتماً کلمه عبور داشته باشیم که این دو با هم همان احراز هویت را انجام میدهد .

در شبکه های  Work Group در هر سیستم اعتبار سنجی یا Authentication در همان سیستم انجام میشود ،هنگامی که windows نصب میشود مکانی برای ما به وجود می آید به نام فایل SAM یا Security Account Manager ،این فایل در مسیر زیر در سیستم عامل ویندوز قرار دارد ، در واقع SAM یک DataBase مخصوص و کاملاً مجزا از دیتابیس های کامپیوترهای دیگر هست.

C:\Windows\System32\config

هر کامپیوتر بخشی به نام LSD یا Local Security Database داره که اطلاعات مربوط به کاربران رو در خودش ثبت می کند ، LSD هر کامپیوتر نیز متعلق به خود آن کامپیوتر هست . در شبکه های Work Group برای اتصال به کامپیوتر دیگر، باید یک User و Password وارد کرد که این دو، همان نام کاربری و پسورد شما در ویندوز هستند ، بعد از وارد کردن این اطلاعات، کامپیوتر میزبان در LSD خود به دنبال این اطلاعات می گردد و اگر User و Pass شما در LSD آن موجود بود، به شما اجازه ی دسترسی می دهد. در واقع کامپیوتر مقصد با انجام بررسی مشخصات(یوزر و پسورد) سیستمی که میخواهد متصل شود Authentication را انجام می دهد این کار در حقیقت همان login کردن در شبکه است اما موضوع این است که بدانیم صحت نام کاربری و کلمه عبور مربوطه و میزان دسترسی افراد به شبکه (permission) در کجا ثبت و نگهداری می شود.
پس با این حساب میتوان گفت تمامی یوزر ها و پسورد های کامپیوتر هایStand Alone (کامپیوتر هایی که در هیچ شبکه ای نیستند) و یا در شبکه Local یا WorkGroup هستند در LSD  و در فایل SAM ذخیره میشوند و برای اینکه کامپیور A بخواهد به منابع اشتراک گذاشته شده کامپیوتر B دسترسی یابد پس از ارسال درخواست پنجره یوزر و پسورد مطابق تصویر زیر برای کامپیوتر A باز میشود و در این کادر باید یوزر و پسوردی زده شود که در LSD سیستم B وجود داشته باشد در غیر اینصورت کامپیوتر مقصد اجازه ورود به سیستم مبدا را نمیدهد و این یکی از بزرگترین چالش هایی است که سیستم های WorkGroup با آن درگیر هستند و از همین رو هست که در مطلب قبلی گفتیم بیش از ۱۰ کامپیوتر نباید در WorkGroup بماند چون دسترسی ها به مراتب مشکل دار خواهد شد البته این به این معنی نیست که بیش از ۱۰ کامپیوتر نمیتواند در این شبکه باشد اتفاقاً شبکه های WorkGroup هم اکنون وجود دارند که تعداد کلاینت ها یا کامپیوتر های آن به ۵۰۰ تا ۱۰۰۰ تا هم میرسد. شما حتماً پنجره Authentication را در موقع اتصال به مودم های ADSL هم دیده اید و باید یوزر و پسوردی را بزنید که در مودم قبلاً تعریف شده باشد به عنوان مثال admin , admin  یوزر و پسورد های پیشفرض مودم ها هستند.

Authorization چیست؟

در Authorization مشخص می شود که یک user چه اجازه ی دسترسی به چه منبع ای داشته باشد و یا چه مقدار می تواند از یک منبع استفاده کند که این نیز در شبکه ی workgroup به حالت متمرکز نمی باشد و در هر سیستم جداگانه انجام میشود . در شبکه های WorkGroup میتوان گفت No Centraliz Manage یعنی هیچگونه مدیریت مرکزی وجود ندارد، مثلاً در صورت اضافه شدن یک کاربر جدید ، باید User و Pass آن را، در LSD تمام کامپیوتر ها به صورت دستی وارد کرد یعنی اگر ۱۰۰ کامپیوتر وجود داشته باشد و یک یوزر بخواهد ایجاد شود باید در LSD هر ۱۰۰ سیستم یوزر را اضافه کنیم  و یا زمانی که یوزر بخواهد پسوردش رو عوض کند در آن صورت باید در همه سیستم ها این تغییرات انجام شود . البته راه کار های ساده تر همیشه وجود دارند مثلاً یک یوزر مشترک همراه با یک پسورد مشترک برای همه سیستم ها ایجاد میکنند و برای Authentication کار را ساده میکنند چون دقیقاً یوزر و پسورد ها یکسان است و اگر یک یوزر جدید در یک سیستم جدید بخواهیم بسازیم با همان نام کاربری و پسورد یکسان قبلی میتوان همان کار قبلی را انجام داد و یکی از مشکلات بزرگ این نوع شبکه ها یعنی WorkGroup همین است که یک کامپیوتری که یوزر و پسوردش مشخص است خب تمام کاربران میتوانند از پشت هر سیستم لاگین کرده و به تمام اطلاعات آن سیستم دسترسی داشته باشند البته این موضوع هم با کمی تلاش قابل حل است میتوان سطح دسترسی ها را برای آن یوزر محدود و کنترل کرد که به هر داده ای دسترسی نداشته باشد.

شبکه domain یا client -server

در اینجا میخواهم در خصوص شبکه های تحت دامین بیشتر صحبت کنیم دیدید که WorkGroup را مانند بانک در نظر گرفتیم ،وارد شدن به این نوع شبکه ها آسان است ولی برای هر کاری نیاز به احراز هویت و مجوز ها است همچنین تعداد بالای کلاینت ها سختی هایی را برای ما در بر دارد ، اما شبکه Domain را مانند یک پادگان نظامی یا یک سازمان اداری در نظر میگیریم شما وقتی میخواهید وارد یک سازمان یا پادگان شوید آیا میتوانید همانند بانک بدون مجوز وارد شوید ؟ جواب قطعاً خیر است چون در بدو ورود قطعاً حراست یا نگهبان آن مجموعه احراز هویت شما را بررسی میکند و در همان لحظه مجوز یا Authorization  شما کنترل میگردد یعنی میپرسند با چه شخصی در سازمان کار دارید و اگر تایید شدید یک Token یا یک کارت شناسایی به شما میدهند و شما آزادانه و هر بار که میخواهید میتوانید وارد سازمان شوید و این یعنی Authentication در همان بدو ورود انجام میشود دقیقاً سیستم های تحت دامین همین حالت را دارند و زمانی که شما وارد شبکه میشوید یوزر و پسورد شما در LSD دامین ثبت میشود ، اگر بخواهیم سیستم را شرح دهیم اینگونه میشود که ابتدا کاربر سیستم را روشن میکند در همین لحظه اطلاعاتی از سمت سیستم به سمت سرور و DC یا Domain Controller میرود که آیا این سیستم اجازه ورود به شبکه را دارد ؟ و چه مجوز هایی برای این سیستم صادر شده است ، کاربر یوزر و پسورد خود را وارد میکند برای لاگین کردن در این لحظه اطلاعات به سمت سرور ارسال میشود و  وقتی Domain Controller من را احراز هویت کرد و همین لحظه برخی از پالیسی ها را همراه با کاربر به سمت سیستم درخواست کننده ارسال میکند این اطلاعات میتواد شامل این باشد که مثلاً بک گراند سیستم چه باشد و آیا این یوزر و این کامپیوتر اجازه استفاده از پورت های USB را دارد یا خیر و … و DC به کامپیوتر اعلام میکند که این یوزر از دید من معتبر بوده و میتواند لاگین کند . وقتی شما درخوست دسترسی به منابعی که بر روی یک Member Server قرار گرفته است را میکنید کامپیوتر من یک Token یا بلیط دسترسی ایجاد کرده و آن را به Member Server میگوید که من از نظر Domain Controller کاربر معتبر و قابل اعتمادی هستم . Member Server به شما اعتماد نمیکند و صرفا Domain Controller را به عنوان مرجع انتخاب میکند و هنگامی که DC من را احراز هویت کرده باشد من در شبکه معتبر خواهم بود . و تنها در این صورت خواهد بود که با توجه به سطوح دسترسی که برای کاربر من در روی آن Member Server تعریف شده است من میتوانم از منابع موجود بر روی آن استفاده کنم.در ادامه در خصوص سخت افزار شبکه در خدمت شما خواهیم بود

1 نظر
  1. mehraban.abbasi می گوید

    سلام و عرض ادب
    استاد گرامی ممنون از مطالب خوبتون با توضیحات شفاف و کامل.
    اگر امکانش هست لطف بفرمایید لینک قسمت های قبلی رو هم در کامنت ذکر کنید. چون با کلیک روی «قسمت قبلی» که در ابتدای متن آورده شده، به قسمت مربوطه ارجاع داده نمیشه.
    متشکرم

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.