Протоколы непрямой аутентификации
Протоколы непрямой аутентификации следуют подобному шаблону обмена сообщениями, но только обмен носит более сложный характер. Многие широко известные сегодня системы обеспечивают непрямую аутентификацию с помощью специально разработанных протоколов. Отрытым стандартом для реализации непрямой аутентификации является протокол RADIUS. Такую же роль играет и протокол Kerberos, вариант которого имеется в ОС Windows 2000 компании Microsoft и в средствах регистрации в домене ОС Windows NT 4.0. Поставщики систем одноразовых паролей, например Safe Word компании Secure Computing и SecurelD компании RCA Security, обычно в дополнение к одному или нескольким протоколам непрямой аутентификации собственной разработки поддерживают и протокол RADIUS. В общем случае протокол непрямой аутентификации начинает свою работу, когда кто-нибудь пытается зарегистрироваться в точке обслуживания с удаленного места, которым может быть, например, рабочая станция. Когда точка обслуживания принимает запрос на регистрацию, она пересылает имя пользователя и пароль, биометрические показания или другую отличительную характеристику аутентификационному серверу. Часто для пересылки данных таких сообщений используется внутренний протокол типа RADIUS или протокол, разработанный изготовителем. Если сервер подтверждает аутентификацию, то он посылает в точку обслуживания подтверждение, сформатированное в соответствии с этим внутренним протоколом. Получив его, точка обслуживания принимает к исполнению попытку пользователя зарегистрироваться. Если сервер посылает отказ, то точка обслуживания отвергает запрос. Кроме отделения служб от механизма аутентификации, шаблоны решений с прямой и непрямой аутентификацией имеют и другие общие свойства: биометрика является рискованной, тогда как шифрование может играть важную роль, хотя оно немного важнее в случае непрямой аутентификации. Поскольку аутентификационные запросы перенаправляются аутентификационному серверу, имеется риск, что взломщик будет подделывать сообщение "аутентификация подтверждена", чтобы обмануть сервер; поэтому для аутентификации двусторонних сообщений между точкой обслуживания и аутентификационным сервером должно использоваться шифрование.
Некоторые системы, использующие непрямую аутентификацию, могут иметь высокий уровень устойчивости к отказам, поддерживая автоматическую репликацию базы данных для распределения аутентификационной нагрузки между несколькими географически отдаленными системами. Если какой-либо из серверов теряет работоспособность, то запросы на аутентификацию могут направляться на альтернативный сервер, содержащий копию всей аутентификационной базы данных. Это позволяет предприятию реплицировать свои службы на несколько хост-машин и реализовать аутентификацию на нескольких аутентификационных серверах, исключая тем самым появление точки критического отказа.
Важным положительным свойством непрямых решений является их хорошая масштабируемость — как географическая, так и по количеству поддерживаемых хост-машин — по мере роста объема вычислительной среды предприятия при сохранении быстрой оборачиваемости в плане добавления новых пользователей или удаления старых. Такие системы проявляют свои недостатки только в тех случаях, когда пользователи являются работниками нескольких предприятий. Хотя подобное коллективное использование технически осуществимо, оно добавляет ряд административных проблем и проблем, связанных с безопасностью, что обычно делает его непрактичным.