Authentifizierungsmethoden

Intern implementierte Authentifizierungsmethoden

Der Identitätsdienst kann Benutzeranmeldeinformationen in einer SQL-Datenbank speichern oder einen LDAP-kompatiblen Verzeichnisserver verwenden. Die Identitätsdatenbank kann von Datenbanken getrennt sein, die von anderen OpenStack-Diensten verwendet werden, um das Risiko eines Kompromisses der gespeicherten Anmeldeinformationen zu verringern.

Wenn Sie einen Benutzernamen und ein Kennwort zur Authentifizierung verwenden, erzwingt Identity keine Richtlinien für Kennwortstärke, Verfall oder fehlgeschlagene Authentifizierungsversuche, wie von NIST Special Publication 800-118 (Entwurf) empfohlen. Organisationen, die es wünschen, stärkere Kennwortrichtlinien zu erzwingen, sollten die Verwendung von Identitätserweiterungen oder externen Authentifizierungsdiensten in Erwägung ziehen.

LDAP vereinfacht die Integration der Identitätsauthentifizierung in die vorhandenen Verzeichnisdienst- und Benutzerkontenverwaltungsprozesse eines Unternehmens.

Die Authentifizierungs- und Berechtigungsrichtlinie in OpenStack kann an einen anderen Dienst delegiert werden. Ein typischer Anwendungsfall ist eine Organisation, die eine private Cloud bereitstellen will und bereits eine Datenbank von Mitarbeitern und Benutzern in einem LDAP-System hat. Wenn Sie dies als Authentifizierungsstelle verwenden, werden Anfragen an den Identitätsdienst an das LDAP-System delegiert, das dann basierend auf seinen Richtlinien autorisiert oder verweigert wird. Nach erfolgreicher Authentifizierung generiert der Identitätsdienst dann ein Token, das für den Zugriff auf autorisierte Dienste verwendet wird.

Beachten Sie, dass, wenn das LDAP-System Attribute für den Benutzer definiert hat, wie z.B. Admin, Finanzen, HR usw., diese in Rollen und Gruppen innerhalb von Identity für die Verwendung durch die verschiedenen OpenStack- Dienste abgebildet werden müssen. Die /etc/keystone/ keystone.conf-Datei ordnet LDAP-Attribute zu Identitätsattributen zu.

Der Identitätsdienst DARF NICHT auf LDAP-Dienste schreiben, die für die Authentifizierung außerhalb der OpenStack-Bereitstellung verwendet werden, da dies einem ausreichend privilegierten Keystone-Benutzer erlauben würde, Änderungen am LDAP-Verzeichnis vorzunehmen. Dies würde eine Privileg-Eskalation innerhalb der größeren Organisation ermöglichen oder den unbefugten Zugriff auf andere Informationen und Ressourcen erleichtern. In einer solchen Bereitstellung wäre die Bereitstellung von Nutzern außerhalb des Bereichs der OpenStack-Installation.

Externe Authentifizierungsmethoden

Organisationen können eine externe Authentifizierung für die Kompatibilität mit vorhandenen Authentifizierungsdiensten implementieren oder um strengere Anforderungen an die Authentifizierungsrichtlinie zu erzwingen. Obwohl Passwörter die häufigste Form der Authentifizierung sind, können sie durch zahlreiche Methoden, einschließlich Keystroke Logging und Passwort Kompromiss kompromittiert werden. Externe Authentifizierungsdienste können alternative Authentifizierungsformen bereitstellen, die das Risiko von schwachen Passwörtern minimieren.

Diese beinhalten:

Kennwortrichtlinienerzwingung

Benötigt Benutzerpasswörter, um Mindeststandards für Länge, Vielfalt von Zeichen, Ablauf oder fehlgeschlagene Anmeldeversuche anzupassen. In einem externen Authentifizierungsszenario wäre dies die Kennwortrichtlinie auf dem ursprünglichen Identitätsspeicher.

Multi-Faktor-Authentifizierung

Der Authentifizierungsdienst erfordert, dass der Benutzer Informationen auf der Grundlage von etwas, was sie haben, wie ein einmaliges Passwort-Token oder X.509-Zertifikat, und etwas, was sie wissen, wie ein Passwort.

Kerberos

Ein gegenseitiges Authentifizierungsnetzwerk mit ‚Tickets‘ zur sicheren Kommunikation zwischen Client und Server. Das Kerberos Ticket-Granting-Ticket kann verwendet werden, um sicher Tickets für einen bestimmten Service zu erbringen.