Návrh řešení správy autentizace pomocí lístkových služeb

Rozměr: px
Začít zobrazení ze stránky:

Download "Návrh řešení správy autentizace pomocí lístkových služeb"

Transkript

1 Návrh řešení správy autentizace pomocí lístkových služeb Ing.ZbyněkHubínka,HFTUvLiberci Abstrakt Text pojednává o možném řešení problému autentizace v nedůvěryhodném prostředí nasazením lístkové služby Kerberos, integrace Kerbera s existujícími datovými a jmennými službami a aplikace takto vzniklého bloku v prostředí virtuálních sítí. Je kladen důraz na bezpečnost autentizačního provozu a uživatelský komfort, stejně tak jako na schopnost systému zapojit se do stávající infrastruktury a schopnost systému akceptovat budoucí rozšíření nabídky služeb. Úvod Problematika nepopiratelné autentizace v počítačových sítích byla řešena již mnohokrát. Většina řešení je buď nepraktická(biometrie), nebo nedostatečně účinná. Předkládaný návrh vychází ze zkušeností z provozu heterogenní sítě středního rozsahu, ve které se nachází několik datových úložišť spravovaných servery Samba dostupných ze všech pracovních stanic. Každý uživatel je autorizován k čtení a zápisu nad dedikovaným adresářem, přičemž správa oprávnění probíhá po dvou liniích propojení uživatelských adresářů s účty podle nastavení systému v souborech/etc/passwd a zároveň evidence uživatelů Samby a jejich přístupů v databázi LDAP. Zabezpečení výměny autentizačních informací je dáno implementací OpenSSL nad LDAP Samba deleguje autentizaci na LDAP. Nedostatkem současného řešení je jednak roztříštěnost autentizačních informací, jednak nutnost opakovaného přihlašování k dalším požadovaným službám. Rovněž rozšíření nabídky služeb znamená někdy i podstatné zásahy do jejich konfigurace, aby byly schopny autentizace proti LDAPu, a to většinou za cenu duplicitní evidence hesel, resp. jejich otisků. Proto byl vypracován tento návrh využívající samostatnou správu autentizačních informací pomocí lístkové služby. Koncepce lístkových služeb vychází z předpokladu, že prostředí sítě není důvěryhodné a vždy je zde potenciální možnost odchycení přenášených informací cizí osobou, následné předstírání cizí identity, neoprávněné využití služby nebo změny či pouze odposlouchávání přenosu. Tyto problémy jsou částečně řešeny použitím firewallu, ale jedná se pouze o obranu před vnějším útočníkem. Lístkové služby byly vyvinuty k odstranění těchto nedostatků. Lístkové autentizační služby jsou navrženy pro provoz v nedůvěryhodných sítích jako autentizace pomocí důvěryhodné třetí strany, s níž klient i server sdílí tajemství. Autentizace uživatele probíhá proti důvěryhodné třetí straně, která na základě úspěšného ověření identity uživatele vydá klientu lístek, jímž se bude nadále prokazovat místo obvyklé interaktivní autentizace(zadání uživatelského jména a hesla). Pokud klient žádá po serveru autentizaci pomocí lístku, server si vyžádá jeho kopii(autentizátor) u třetí strany a porovná obě kopie. Je podstatné, aby se nelišil příliš okamžik vytvoření od od okamžiku žádosti o autentizaci, protože lístek se vytváří vždy na dobu určitou a to poměrně krátkou. Většina lístkových služeb dokáže i opakovaně na žádost klientu platnost lístku prodloužit, nicméně po uběhnutí této lhůty je lístek zahozen a je třeba se autentizovat třetí straně znovu. Lístek lze použít pro libovolnou službu, o které třetí stranaví,tedymájiuloženouvesvédatabázianaopakslužbasamotnádokážeslístkovou službou spolupracovat. Pro uživatele to znamená, že kromě prvního přihlášení, které bývá zároveň přihlášením k jeho pracovní stanici už pro žádnou službu vyžadující autentizaci a známou třetí straně nemusí explicitně uvádět svoje přihlašovací informace. 1

2 Existují v podstatě dvě různá provedení lístkové služby, rozšířená a často používaná. Prvním je Microsoft Active Directory, resp. jeho lístkový modul. MS AD je komplexní balík aplikací sdružující adresářové služby a lístkové služby s hierarchií a strukturou záznamů obdobnou jiným službám. Jeho nedostatkem je provázanost s platformou Microsoft Windows a uzavřenost, dále problematické chování v heterogenních a složených sítích a obtížná dostupnost z jiných platforem. Druhým řešením je nasazení LDAP na evidenci uživatelů a jejich hierarchie a systému Kerberos na vlastní správu autentizace. Tato variantajenáročnějšínanastavení,alemávýhoduvtom,žejilzejednodušeiza běhu nastavovat podle momentální konfigurace informačního systému. Jak LDAP, tak i Kerberos existují ve volně šiřitelných a otevřených implementacích, jejich konfigurace je známá a dobře dokumentovaná a existuje mnoho úspěšně fungujících instalací. Následující dokument popisuje metodiku harmonizace adresářových a autentizačních služeb za účelem realizace systému lístkové autentizace, a to na bázi otevřeného softwaru. Protože neexistuje akceptovatelné a dostatečně robustní řešení, je celý systém navrhován od počátku, tj. postupně podle požadavků jednotlivých služeb na autentizaci. Systém je modulární a do značné míry minimalistický v navržené podobě poskytuje autentizaci pouze pro službu Samba, ovšem s tím, že jej lze definovaným způsobem rozšířit pro další služby. Využívá se toho, že v rámci jedné domény(realmu) lze definovat libovolné hostitele služeb a služby jimi poskytované jednoduchým zásahem administrátora bez nutnosti poskytovat tuto informaci klientům, tedy veškeré změny v seznamu služeb vyžadujících autentizaci se provádějí na jednom místě, na důvěryhodném serveru poskytujícím lístkové služby. Dalším důvodem pro navržené řešení byla možnost provozu ve virtuálních sítích. Principy virtuálních sítí jsou popsané v literatuře a není předmětem tohoto dokumentu je popisovat, proto jen ve stručnosti: jedná se o logickou síťovou infrastrukturu postavenou nad fyzickými sítěmi, která má povahu sítě lokální. Využívá tzv. IP tunnelingu, tj. schopnosti některých protokolů komunikační vrstvy zabalit svůj síťový provoz do šifrované obálky, která znemožní subjektům v komunikaci nezúčastněným vůbec tento datový tok vidět. Tunel probíhá od jednoho rozhraní k druhému a právě jeho povaha krátkéhospojení připomínajícíhologickýsíťovýkabeldalavzniknoutvirtuálnímsítím sestávajícím právě z IP tunelů. Kerberos narozdíl od AD lze bez problémů na virtuální síť implementovat, protože autentizační provoz Kerbera běží i na tcp portech a lze jej tedy tunelovat(o problematice pozadí provozu ve virtuálních sítích více v[5]). Adresáře a adresářové služby Autentizační data se obvykle centralizují do speciálních databází, tzv. adresářů. Obvyklá představa databáze víceméně koresponduje s tzv. relačním modelem, tedy strukturou sestávající z neuspořádaných, ale uspořadatelných stejně dlouhých záznamů. V praxi jsou relační databáze stále nejčastější podobou, ovšem často narazíme na problém, který je sice relační strukturou postižitelný, ale za cenu neekonomičnosti. Typickým příkladem je databáze uživatelů informačního systému, který slouží velkému množství heterogenních účastníků, jako je třeba univerzitní síť nebo systém sdílení výrobních dat v rámci spolupráce více podniků. Jakmile je struktura uživatelů a jejich charakteristik příliš různorodá, máme na výběr ze tří variant. Jednak zachovat stávající podobu databáze, což ovšem vyžaduje neustálé rozšiřování záznamu o položky, které pro určité skupiny uživatelů jsou buď nevýznamné, nebo nesmyslné(např. číslo pokoje na koleji má smysl sledovat u studenta, kdežto u pedagoga je taková položka zcela 2

3 zbytečná). Takový přístup vede ke vzniku tzv. řídkých tabulek, v nichž nakonec převažují prázdná pole nad obsazenými, což prodlužuje prohledávání a v neposlední řadě zbytečně zabírá diskový prostor. Druhá varianta znamená rozdělit původně jedinou tabulku do několika dílčích, přičemž společné údaje(jméno, příjmení, bydliště, registrační číslo...) jsou umístěny v centrální tabulce a podle toho, do které podskupiny uživatelů ten který patří, podle toho jsou jeho další charakteristiky rozvedeny v odpovídajících záznamech v odvozených tabulkách. Tento model je ekonomičtější, ale stále zůstává uzavřený pokud chceme charakteristiku některé skupiny uživatelů rozšířit, musíme změnit samotnou podstatu datového modelu a přidat další položku do odpovídajícího záznamu. V souvislosti s tím je zpravidla nutné přeformulovat některé typy dotazů, aby po rozšíření modelu byly stále validní. Třetí variantou je úplná rekonstrukce databáze a vytvoření adresáře. Adresář je datová struktura ne nepodobná papírovému adresáři, v němž se uchovávají údaje o osobních, pracovních nebo jiných kontaktech. Jedná se o strukturu hierarchickou, stromovou, kde je u kořene uvedena obecná charakteristika platná pro všechny záznamy a všem záznamům společná, a čím výše se v adresáři pohybujeme, tím další položky přibývají a charakteristika subjektu se stává podrobnější. Adresář oproti zažité podobě nemusí mít nutně podobu binárního stromu, tím méně hromady, přesto cesta zpět od konkrétního subjektu ke kořenu musí být vždy daná a jediná. Adresáře jsou tedy charakterizovány proměnlivou délkou jednotlivých záznamů podle toho, na jaké větvi adresářového stromu se daný záznam nachází. V adresáři můžeme uchovávat data různých typů, jako text, digitální certifikát či obrázek, obvykle ovšem uschovávají data textová. Ze své podstaty je adresář navržen k rychlému čtení a prohledávání a jen občasnému záznamu. Následující obrázek ilustruje jednoduchý adresář a směr prohledávání. Obr. 1: Jednoduchý adresář Adresářovou službou rozumíme aplikaci nebo balíku aplikací, které přistupují k adresáři, čtou a upravují data v něm uložená. Protože záznamy v adresáři nemají danou strukturu, může při prostém zápisu docházet i ke změně počtu položek v dané větvi, dílčímu rozvětvení nebo naopak zjednodušení stromu. Adresářová služba také funguje jako centrální autentizační autorita, která umožňuje autentizaci zdrojů(uživatelů, služeb, počítačů). Parametry přístupu udává tzv. Access Control List ACL, který vymezuje autorizace jednotlivých přistupujících subjektů. Adresářová služba narozdíl od relačních databázových strojů si těžko poradí s referenční integritou dat, což je dáno variabilitou záznamů a odlišnou implementací datových typů, má problémy s konstrukcí horizontálních dotazů(pokrývajících více větvení na stejné úrovni). LDAP. Adresářový model LDAPu LDAP představuje pokročilý protokol adresářové služby odvozený od dnes již historického protokolu DAP(Directory Access Protocol) a protokolů souvisejících, popsaných 3

4 normou X.500. Zjednodušením této normy(písmeno L znamená Lightweight) a zúžením transportního pozadí na sadu protokolů TCP/IP vzniká LDAP jako standard. Datový formát LDAPu se označuje jako LDIF(LDAP Data Interchange Format). Jedná se o jednoduchý textový formát, který sestává z jednotlivých objektů(analogie záznamů relační databáze) rozpadajících se do párů atribut-hodnota, přičemž termínem třída je označován souhrn atributů typických pro určitou skupinu objektů. LDAP je popisován pomocí čtyř modelů: informační model(schéma), který udává vlastní strukturu dat v adresáři jmenný model, popisující organizaci dat; funkční model, souhrn akcí, které lze nad adresářem provádět; bezpečnostní model, jak jsou data v adresáři chráněna. Informační model nastavuje základní parametry vlastního adresáře. Základem informačního modelu je definice kořenu, který obsahuje základní specifikaci celého stromu. Kořen(rootDSE) nemá definováno jednoznačné jméno(distinguished name, dn), ani třídu. Jednotlivé typy objektů jsou potom definovány schématy, která obsahují všechny použitelné atributy pro danou třídu(např. Samba, NFS, elektronická pošta aj.). Schéma samo o sobě představuje třídu, ovšem velmi specifickou všechny její atributy mají unikátní hodnoty. Z podstaty věci ale není nijak složité schémata dále rozšiřovat, ev. nechat prolínat více schémat zároveň. Třídy objektů, jak již bylo řečeno, představují abstrakci objektu. Objekty jedné třídy mají zpravidla stejnou strukturu atributů, což vyplývá ze sémantické povahy třídy. Příkladem může být třída user sdružující uživatele, computer sdružující počítače, group pro pracovní skupiny aj. Jeden objekt může splňovat charakteristiky více tříd zároveň, například student vedený ve třídě user je zároveň v nižší(konkrétnější) třídě student, stejnětakvevyššítříděpersonanejvyššítop.třídoutopserozumípříslušnostkvlastnímu stromu, jak je definováno v kořenu(organisation(o), domain component(dc) aj.). Pokud objekt shrnuje vlastnosti více objektů, nazývá se kontejner a je potom rodičem tzv. listů, objektů bez potomků. Typickým kontejnerem je definice třídy user, listem je potom jeden uživatel spadající do dané třídy. Obr. 2: LDAP adresář Uvedený přístup s sebou nese určitou komplikaci vyhledávání, proto se zavádí pojem kategorie objektů. Kategorie objektů uchovává informaci o nejspecifičtější třídě objektu, aniž by to narušilo vlastní schéma. Vyhledávání potom probíhá nikoli po třídách, nýbrž po kategoriích, které jsou danému objektu jednoznačné. Protože kategorie představuje zároveň objekt třídy schéma, je i vyhledávání optimalizováno prostřednictvím specifického atributu, uvádějícího implicitní kategorii objektu. Každý objekt třídy schéma 4

5 obsahuje atribut, jehož hodnotou je přímo název třídy, takže vyhledávání probíhá na úrovních kategorie a nikoli na úrovni konkrétních objektů. Atributem objektu se rozumí konkrétní charakteristika objektu. Atribut zpravidla obsahuje jednu hodnotu, může ovšem nabývat i více hodnot. Atributy jsou vůči třídám specifické, jsou uvedeny ve schématu a to včetně jejich eventuální obligatornosti. Na úrovni atributů je uveden i typ očekávané hodnoty, zpravidla po linii číslo-řetězec. Názvy atributů podléhají konvenci podle použitých schémat a není předmětem tohoto článku je vyjmenovávat. Typ atributu představuje informaci o tom, jaké hodnoty může atribut nabývat a jak se s jeho hodnotou má zacházet při provádění operací. Následuje seznam základních typů atributů. - ces(case sensitive string) řetězec znaků s rozlišením malých a velkých písmen - cis(case insensitive string) totéž bez rozlišení malých a velkých písmen - tel telefonní číslo; jsou ignorovány mezery, pomlčky a rozlišení malých a velkých písmen - bin binární data(ve smyslu sekvence osmibitových čísel), může uchovávat třeba obrázek nebo zvukový záznam - dn distinguished name, jednoznačný identifikátor objektu (pozn.: hodnoty jsou samozřejmě ukládány v původní podobě, eventuelní nerozlišování jenaúrovnifunkcevyhledávání,např.pokudje JanNovák typutel,budevadresáři uloženjako JanNovák,alepudeodpovídatvyhledávánísekvence jannovák stejně jako jannovák ) Každý objekt adresáře, ať kontejner nebo list, má ve své struktuře obsažen jednoznačný identifikátor, který je unikátní v rámci celého stromu. Nazývá se distinguished name(dn) a obsahuje úplnou cestu k objektu počínaje kořenem. Jednotlivé položky cesty, reprezentující nadřazené objekty(kontejnery, domény) jsou v dn od sebe oddělenyčárkouazapisujísevesměruzpětkekořenu.tedyuživateljannovákmůžemít atribut dn například následující podoby: uid=jan.novak,ou=people,dc=kin.vslib,dc=cz kde uid je atribut určující identifikaci uživatele(user identificator, někdy se používá atribut cn common name), ou určuje třídu objektu(v našem případě organisation unit) a poslední dvě části dn představují kořen stromu. Pokud není třeba z nějakého důvodu uvádět celou cestu, vystačíme si s rdn(relative distinguished name), které nám udává jednoznačné umístění objektu v rámci objektu nadřazeného(kontejneru). Zde může být rdn například sekvence uid=jan.novak v rámci kontejneru People. LDAP verze 3 podporuje v rámci jmenného modelu jak výše uvedenou podobu, která je kompatibilní s Microsoft Active Directory, tak původní LDAP strukturu, kde místo atributů dc se používají atributy o(organisation) a c(country). Na následujícím obrázku vidíte příklad výpisu jednoho listu z adresáře LDAP provozovaného na katedře informatiky TUL. # zbynek.hubinka, People, kin.vslib.cz dn: uid=zbynek.hubinka,ou=people,dc=kin.vslib,dc=cz uid: zbynek.hubinka cn: zbynek.hubinka sn: zbynek.hubinka 5

6 objectclass: person objectclass: organizationalperson objectclass: inetorgperson objectclass: posixaccount objectclass: top objectclass: shadowaccount objectclass: sambasamaccount shadowmax: shadowwarning: 7 loginshell: /bin/bash uidnumber: 1004 gidnumber: 100 homedirectory: /home/zbynek.hubinka sambasid: S sambaprimarygroupsid: S sambapwdmustchange: sambapasswordhistory: sambaacctflags: [U ] sambapwdcanchange: sambapwdlastset: shadowlastchange: sambalmpassword: 80FD37AA5EF7BEDA09752A D17 sambantpassword: CF9E88E4BFB1FE7F1F9789C86BD4B7B8 userpassword:: e01enx1ostdxdgu5awtyvdj4vi8znnvyukvnpt0= Obr. 3: Příklad objektu LDAPu Za povšimnutí stojí několik detailů: některé atributy mají stejné hodnoty(uid, cn, sn) a některému atributu je přiřazeno více hodnot. Nikde totiž není psáno, že by jeden atribut musel mít jen jedinou hodnotu, příkladem budiž atribut objectclass, který v sobě zahrnuje všechny třídy, do nichž objekt náleží. Funkční model LDAPu Funkční model LDAPu zahrnuje základní sadu funkcí, kterými lze přistupovat k obsahu adresáře. Konkrétní syntaxe je závislá na implementaci a prostředí, v následujícím seznamu jsou vyjmenovány jejich obecné významy. Autentizační funkce bind ověření loginu, autentizace; výstupem je identifikátor spojení unbind odpojení abandon žádost o ukončení posílání výsledků na předchozí dotaz Dotazy(čtení adresáře) search prohledávání stromu pomocí filtru; výstupem je objekt nebo skupina objektů compare naúrovniatributůporovnázadanouhodnotu;výstupemje0nebo1 6

7 Úprava obsahu(modifikace adresáře) add přidánovýobjekt modify upraví existující objekt na úrovni atributů modifyrdn přesouvá objekt v rámci adresáře(změna cesty) delete mažeobjekt Tyto operace jsou definovány v RFC 3377 a jsou postačující pro lakce nad adresářem. Bezpečnostní model LDAPu. SSL/TLS, SASL. Autorizace. Bezpečnostní model LDAPu se rozpadá do dvou úkolů autentizace a autorizace. Autentizace, tj. ověření identity uživatele může být řízena interními mechanismy LDAPu, nebo může být předána třetí straně. Z vnitřních mechanismů se nejčastěji(a prakticky výhradně) používá autentizace anonymní pro veřejný přístup a jednoduchá(basic). LDAP je připraven pro aplikaci bezpečnostní mezivrstvy, takže autentizaci typu basic lze bez dalších problémů šifrovat pomocí SSL nebo TLS. Zpravidla je nutné vybrat jeden šifrovací kanál, protože jejich implementace se navzájem vylučuje. Pro iniciaci zabezpečeného spojení je kromě obecných podmínek SSL/TLS popsaných v[1] resp.[2] třeba v parametrech funkce bind uvést URI LDAP serveru v podobě ldaps://, což plně postačuje pro inicializaci spojení nad bezpečnostní mezivrstvou. Autentizace externími nástroji je rovněž často využívána. Její výhodou je aplikace jednotných ověřovacích prostředků pro více služeb a daleko větší množství variant ověření, včetně aplikace lístkových služeb. LDAP zde používá prostředníka, kterým je unifikační konektor nebo přímo správa autentizace. Výhradně se používá SASL(Simple Authentication and Security Layer), což je konektor pro přidávání nebo zlepšování bezpečnosti autentizace. SASLu se předává dn objektu k autentizaci, autentizační mechanismus a credentials, tedy data prokazující identitu. SASL ovládá několik základních ověřovacích mechanismů. Následuje seznam implementovaných metod. PLAIN nejjednodušší, lze šifrovat pomocí TLS OTP určen pro jednorázová hesla, proto neobsahuje algoritmy ověřování DIGEST-MD5 mechanismus založený na sdíleném hesle(credentials). Výzva serveru je klientem zašifrována a odeslána zpět, server následně pomocí téhož hesla vlastní výzvu rovněž zašifruje a výsledek porovná s odpovědí klientu. KERBEROS využívá mechanismu stejnojmenného protokolu, který je primárně určen pro oboustrannou autentizaci v nezabezpečených sítích prostřednictvím lístkové služby. Pro obsáhlost tématu bude vysvětleno samostatně. Kromě uvedených metod je k dispozici implicitní metoda anonymní autentizace určená pro předávání otevřených zpráv. Obvykle je LDAP nastaven tak, aby umožňoval číst některé atributy záznamu bez autentizace. dn: uid=zbynek.hubinka,ou=people,dc=kin.vslib,dc=cz uid: zbynek.hubinka cn: zbynek.hubinka sn: zbynek.hubinka objectclass: person objectclass: organizationalperson objectclass: inetorgperson 7

8 objectclass: posixaccount objectclass: top objectclass: shadowaccount objectclass: sambasamaccount shadowmax: shadowwarning: 7 loginshell: /bin/bash uidnumber: 1004 gidnumber: 100 homedirectory: /home/zbynek.hubinka shadowlastchange: Obr. 4: Výpis objektu LDAP při anonymní autentizaci Samotná autentizace je podmínkou otevření spojení. Funkce bind otevírá sezení a vrací identifikátor sezení. Tento identifikátor je k dispozici funkcím volaným klientem a pomocí něj se udržuje vzájemné spojení až do odeslání funkce unbind, která dané spojení zruší. Autorizace je obecně vymezení práv daného uživatele. LDAP dokáže nastavit autorizaci na několika úrovních nic nevidět, jen číst, číst i psát. Úroveň autorizace je pro různé atributy různá, přičemž některé LDAP servery lze nastavit tak, aby ani kořenový uživatel(cn=root,o=organizace,c=země) nebyl schopen určité atributy měnit. Ukládá se v řetězcích access to attr=<atribut> by <uživatel> <úroveň>, kde místo dn uživatele lze použít zástupnou sekvenci self označující vlastníka objektu. Pokudneníspecifikovánatributajemístonějuvedensymbol*,předpokládáse,žedané nastavení platí pro všechny atributy. Základní konfigurace LDAP serveru. Předpokládejme instalaci LDAP na OS Linux. Hlavní konfigurační soubor slapd.conf naleznetevadresářietc.jehoumístěníjezávislénadistribucialzejejrozdělitdotří logických celků. Nejprve to jsou datová schémata pro konkrétní služby důležité je uvést přinejmenším následující: include include include include /etc/openldap/schema/core.schema /etc/openldap/schema/cosine.schema /etc/openldap/schema/inetorgperson.schema /etc/openldap/schema/nis.schema Následují deklarace platné pro celý server a nezávislé na implementaci. allow bind v2 # abyste mohli používat LDAP funkce PHP password-hash md5 # nebo nějakou jinou z SMD5, SHA, SSHA, CRYPT loglevel 255 # pro debugging pidfile /var/run/openldap/slapd.pid TLSCertificateFile /etc/openldap/servercrt.pem TLSCertificateKeyFile /etc/openldap/serverkey.pem TLSCACertificateFile /etc/openldap/cacert.pem Cesty k certifikátům. LDAP(a Samba a Apache atd.) nepracují dobře se sebou podepsanými certifikáty. Ideální je certifikát podepsaný skutečnou autoritou, což ovšem 8

9 není zadarmo. Certifikát i soukromý klíč by měl mít nastavena práva na 600(čtení povoleno pouze vlastníkovi). Následuje nastavení samotné databáze. database ldbm # typ databáze; může být například bdb (Berkeley DB) suffix "dc=kin.vslib,dc=cz" # kořen stromu directory /var/lib/openldap-data/ # adresář s databází rootdn "cn=root,dc=kin.vslib,dc=cz" # záznam superuživatele rootpw [TAJNE] # šifrované heslo index objectclass eq Hash hesla superuživatele(může se jmenovat úplně jinak a nemusí mít vůbec záznam v/etc/passwd, tedy vůbec nemusí pro systém existovat) vytvoříte příkazem # slappasswd -h MD5 Konfigurace LDAP klientu je platformně specifická. Z tohoto dokumentu je vypuštěna, lzejinajítvčetněnávodunamigraciuživatelův[1]. Kerberos Kerberos je univerzální autentizační protokol pro použití v nedůvěryhodných sítích. Je definován v RFC 1510 a je založen na principu důvěryhodné třetí strany, která spravuje autentizační informace. Klient se serverem si tedy autentizační informace nevyměňují přímo, ale prostřednictvím důvěryhodného subjektu, který na základě sdíleného tajemství vydá časově omezený lístek, obsahující autorizaci k serveru a autentizaci klienta. Tento lístek se nazývá TGT(Ticket Granting Ticket), který slouží k získání dalších lístků určených pro konkrétní služby. Autentizace ke vzdáleným strojům potom neprobíhá tradiční cestou, tedy předáním autentizačních informací klientem serveru, ale pouze předáním lístku, což je operace, která se obejde bez přímé účasti uživatele. K přihlášení stačí prvotní autentizace proti AS(Authentication Server) a všechny další služby vyžadující autentizaci startují automaticky bez nutnosti explicitního zadání uživatelského jména a hesla. Autentizace proti AS probíhá následovně: 1. Uživatel pošle svoji autentizaci AS. 2. AS vygeneruje přístupový klíč, zkopíruje ho, jednu kopii doplní identifikací serveru a zašifruje klíčem klientu, druhou doplní identifikací klientu a zašifruje klíčem serveru a vrátí obě kopie klientu. 3. Klient vlastním klíčem rozšifruje kopii určenou pro něj a získaným přístupovým klíčem zašifruje informaci o aktuálním čase a další údaje, které spolu s kopií přístupového klíče získanou od AS(zašifrovanou klíčem serveru), tedy vlastním lístkem odešle na server; 4. Server rozšifruje kopii přístupového klíče získanou od klientu, rozšifruje informaci o aktuálním čase(autentizátor) a porovná s aktuálním časem; je-li autentizátor dostatečně aktuální, je to považováno za platnou autentizaci a klientu je umožněn přístup. Opakovaná autentizace probíhá obdobně, jen s tím rozdílem, že klient místo rozšifrování pošle znova již získaný lístek(tgt) další službě systému Kerberos, tzv. Ticket Granting Serveru(TGS). Žádosti o autentizaci od toho momentu nevyřizuje klient sám, ale provádí to za něj TGS, kterému se klient pouze prokazuje vygenerovaným lístkem, 9

10 atoaždookamžiku,kdyplatnostlístkuvyprší.klienttedypouzekpožadavkuoautentizaci připojí TGT a požadavek směruje nikoli na server, ale na TGS. Oba uvedené servery systému Kerberos, TGS a AS spolu obvykle úzce spolupracují, bývají dokonce umístěny na jednom počítači. Dohromady se nazývají KDC, Key Distribution Center. Z uvedeného vyplývá hlavní nedostatek služby Kerberos, a to nutnost přesné synchronizace všech komunikujících subjektů. Nejjednodušší způsob, jak tento nedostatek odstranit, je používání tzv. síťového času, který je distribuován protokolem ntp ze speciálního hodinového serveru. Tak lze zajistit, že se hodiny reálného času, od nichž se odvozuje časové razítko lístku na jednotlivých počítačích nebudou významně lišit. Dalším podstatným nedostatkem je riziko poruchy. Pokud Kerberos přestane běžet, nastane situace, kdy se nikdo nikam nepřihlásí. V návrhu implementace se proto počítá s klonováním serveru pomocí démona krbpropd. Obr. 5: Schéma prvotní autentizace(vygenerování TGT). Plnou čarou je naznačena cesta autentizace proti AS, tečkovanou cesta zašifrovaného soukromého klíče klienta pro zamknutí autentizátoru, čárkovanou cesta TGT, čerchovanou cesta autentizátoru. Obr. 6: Schéma opakované autentizace. Čárkovanou čarou je naznačena cesta TGT, čerchovanou cesta autentizátoru. Protože Kerberos vznikal na začátku osmdesátých let, používá poněkud neobvyklou terminologii. Uživatel je označován jako principal, doména jako realm. Za principal je považován i server(ve smyslu služba), protože z pohledu KDC je jedno, na žádost které strany se autentizace provádí. Konfigurace Kerbera Základní konfigurační soubory jsou krb5.conf a kdc.conf. První nastavuje vlastní server, v druhém jsou základní parametry KDC. První lze rozdělit do tří sekcí: [libdefaults] default realm = KIN.VSLIB.CZ ticket lifetime = 600 clockskew = 60 default etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 default etypes des = des3-hmac-sha1 des-cbc-crc des-cbc-md5 10

11 Sekce má pochopitelně více nastavení, tyto jsou ale nejdůležitější. První řádek nastavuje doménu měla by odpovídat DNS doméně počítače, na kterém Kerberos běží, není to ale podmínkou. Druhý řádek nastavuje dobu platnosti lístku a třetí řádek povolenou odchylku, která bude brána v úvahu jako rozdíl způsobený špatnou synchronizací hodin reálného času. Následují potom názvy povolených šifrovacích algoritmů. Pro budoucí použití na autentizaci uživatelů MS Windows je zapotřebí, aby Kerberos ovládal šifru des-cbc-crc. [realms] KIN.VSLIB.CZ = { kdc = ilex.kin.vslib.cz:88 admin server = ilex.kin.vslib.cz:749 } [domain realm].kin.vslib.cz = KIN.VSLIB.CZ kin.vslib.cz = KIN.VSLIB.CZ Tyto dvě sekce nastavují jednak základní realm serveru, jednak jeho propojení na DNS domény. Pro dostupnost serveru je třeba uvolnit na firewallu(je-li nainstalován) uvedené porty. Další nastavení se týkají logování a nejsou pro obecnou představu podstatné. Druhý soubor, kdc.conf zpravidla není nutné vůbec upravovat. Obsahuje parametry KDC umístění implicitní keytab, dobu životnosti obnovovaného lístku atd. Kerberos a LDAP Proč tedy podpora protokolu Kerberos v LDAP? Důvodů může být víc, primární je možnost opakovaného autentizovaného přístupu k datům v adresáři bez explicitní autentizace(tedy úspora času při opakovaném přihlašování) a následně úplné delegování autentizace na Kerberos. Je třeba si uvědomit, že LDAP sám o sobě umožňuje autentizaci pouze sám vůči sobě, a nelze tedy bez příslušných konektorů použít údaje z adresáře pro autentizaci vůči jiným službám(telnet, ssh, ftp, Samba, elektronická pošta...). V Unixu lze přimět službu PAM(Password Authentication Module) k použití databáze LDAPu místo běžných souborů/etc/passwd, resp./etc/shadow pro přihlášení k terminálu, analogicky potom lze podporu LDAPu implementovat autentizačnímu modulu Apache, srozumět LDAP s CIFS/SAMBA a vzdálenými souborovými systémy je ještě problematičtější, nicméně i to se dá spolehlivě realizovat. Výsledkem je heterogenní prostředí a komplikovaná struktura objektů v LDAPu např. pro možnost přihlášení k síťovému disku distribuovanému Sambou potřebujete mít kromě hesla do LDAPu ještě dvě hesla pro Sambu. Protože většina služeb se dá poměrně úspěšně kerberizovat, lze následně přejít na pohodlné používání TGT bez nutnosti udržovat separátní autentizační struktury v adresáři LDAPu a tento soustředit na ukládání jiných informací. LDAP, jak bylo uvedeno dříve, nepodporuje přímo jinou autentizaci než simple. Proto jenutnémítpřímovldapupovolenoupodporusaslastejnětakivkerberu.sasl z tohoto pohledu hraje pouze úlohu konektoru. Pokud máme k dispozici oba konektory, je postup následující: - vytvořit principal služby LDAP pomocí nástroje kadmin a exportovat klíč principalu. Tento je potřeba umístit někam, kde bude pro server LDAP čitelný(záleží na nastavení 11

12 práv a na uživateli, pod kterým je LDAP server pouštěn, nejlépe do tabulky.keytab příslušné dané instalaci). - přimět démona služby LDAP, aby klíč principalu v příslušné tabulce hledal. To je již platformně závislé a překračuje rámec tohoto dokumentu. Zpravidla stačí nastavit příslušnou systémovou proměnnou. Aby byl server schopen propojit identitu uživatele z Kerberos realmu s příslušným objektem v LDAPu, je třeba v jeho konfiguraci nastavit odpovídající extrakci uživatelského jména ze jmenného prostoru SASL(což je standardní výstup) a jeho doplnění na jednoznačnou podobu ve jmenném prostoru LDAP. Výsledkem je transparentní proces, během něhož si uživatel neuvědomí, že místo s LDAP serverem komunikuje s Kerberem a teprve ten přes SASL konektor se samotným adresářem. Delegování autentizace Princip delegování je zhruba následující: uživatel předá při přihlášení k LDAP serveru svoje dn a heslo. Pokud atribut userpassword daného dn začíná sekvencí {SASL}, je provedení autentizace delegováno na SASL s tím, že text za uvedenou sekvencí je předán jako uživatelské jméno(zpravidla ve tvaru Jak je z předchozího patrné, není vůbec nutné, aby autentizaci prováděl Kerberos, stejně dobře lze použít i jiný mechanismus, který lokální implementace SASL zná. Je tedy ještě třeba nakonfigurovat propojení mezi SASL a Kerberem. K tomu slouží autentizační démon SASLauth, kterému se předá informace o tom, jaký konkrétní autentizační mechanismus má být použit. Kerberos bude potřebovat znát principal počítače, na němž SASLauthd poběží a klíč v umístění čitelném pro SASLauthd. Nyní je autentizace delegována na Kerberos a LDAP nemusí žádné informace o heslech dále udržovat. Samba Samba je volně šiřitelný nástroj pro sdílení systémových zdrojů, tj. diskového prostoru, tiskáren a jiných periférií nad komunikační vrstvou TCP/IP. Protokol SMB, nad kterým jepostavena,jetakřkatotožnýsprotokolemcifsfirmymicrosoft,atodotémíry,že bývá někdy omylem považován za jeho volně šiřitelnou implementaci. Narozdíl od NFS je její implementace podstatně jednodušší(vystačí si s třemi, v nouzovém případě i s jedním portem), v prostředí MS Windows nepotřebuje dodatečnou podporu, jako klient je schopná akceptovat CIFS doménu a jako server je tuto doménu schopna řídit. Správně nakonfigurovaný Samba server je pro stanici s MS Windows nerozeznatelná od nativního CIFS serveru. Standardní instalace Samba serveru obsahuje nejméně dva základní démony, a to smbdanmbd.smbdjeodpovědnýzasprávusdílenýchzdrojůmeziklientyasamba serverem. Naslouchá na portu 139/TCP, pro každé spojení vytvoří nový proces, který bude klienta obsluhovat a ukončí se až poté, co se klient odpojí. Démon obsluhuje SMB požadavky, stará se o autentizaci klientů a zamykání souborů. Pokud je démon ukončen řádně, doběhnou nedokončené přenosy a proces se ukončí. Náhlý konec může způsobit ztrátu přenášených dat. Nmbd je nameserver, tj. démon, který plní funkci jednoduchého WINS(Windows Internet Name Service) a NetBIOS(Network Basic Input/Output System) serveru, čeká na dotazy stanic a příslušně na ně odpovídá. Implicitně NetBIOS jméno počítače odpovídá jeho hostname. Mimo jiné umožňuje zjištění(browsing) sdílených prostředků. Může sloužit jako local master browser nebo domain master browser, 12

13 dokonce může i vytvářet samostatnou NT doménu. Tyto funkce jsou v nativním CIFS nedokonale implementovány a lze je naplno využít pouze mimo MS Windows. Moderní linux kernely(verze 2.6) jsou připraveny na klientskou podporu svazků poskytovaných Sambou nebo MS Windows sdílením. Mají implementovány speciální souborové systémy smbfs a cifs, které jsou k dispozici pro připojení vzdálených Samba disků. Smbfs je starší a postrádá některé možnosti cifs, jako například podporu šifrovaných souborových systémů. Jsou to virtuální souborové systémy, skutečná struktura připojovaných svazků se tedy může do určité míry lišit. Bohužel dodnes přetrvávají problémy s kompatibilitou znakových sad v názvech souborů, proto se doporučuje držet se následující konvence: - v názvech souborů jsou přípustné pouze alfanumerické znaky z dolní poloviny ASCII tabulky, tj. A-Z, a-z, 0-9, podtržítko a tečka. Mezera je nepřípustná z důvodu možné publikace na Internetu, kdy v URI první mezera znamená konec adresy, znaky s diakritikou jsou na různých systémech interpretovány různě a nealfanumerické znaky mívají speciální význam; - název souboru by neměl překročit 50 znaků. Některé operační systémy mohou mít omezenídélkynázvusouboruahrozínebezpečí,žebysenajednomsvazkuvjednom adresáři objevily dva soubory se stejným názvem. OS to obvykle řeší indexací, ale na to se nelze spolehnout. Konfigurace Samby je jednoduchá a bezproblémová, obtíže mohou nastat, pokud chcete zajistit přístup uživatelům do oblastí na disku, kam nemají přístup. Řízení přístupovýchprávjeodlišnéodmswindowsajezapotřebí,abydoadresářů,donichž je uživatelům povolen zápis v konfiguraci Samby, měli titíž uživatelé otevřený přístup i přímo v systému. Samba autentizuje přihlašované uživatele jak podle systémové evidence(zpravidla soubor/etc/passwd), tak i podle vlastní evidence(smbpasswd). Pokud je nastavena příslušná direktiva, synchronizuje se změna hesla do Samby(vlastně páru otisků) se změnou systémového hesla. Vzorová konfigurace Samba serveru následuje. [global] domain master = yes workgroup = HFIS netbios name = QUERCUS server string = Quercus robur L. log file = /var/log/samba/log.%m max log size = 50 hosts deny = all hosts allow = map to guest = bad user security = user encrypt passwords = yes socket options = TCP NODELAY SO RCVBUF=8192 SO SNDBUF=8192 local master = yes dos charset = cp1250 unix charset = ISO [homes] comment = Home Directories browseable = yes 13

14 writable = yes [public] comment = For public use path = /public/read security = share read only = yes browseable = yes guest ok = yes [images] comment = Only for updates path = /media hosts deny = all hosts allow = security = share browseable = yes writable = yes guest ok = yes Obr. 7: Vzor konfigurace Samba serveru Sekce[global] obsahuje obecná nastavení Samba serveru. Je zde uvedeno, zda je danýserverstanovenjakomastervdanéntdoméně,jaksejmenujepronetbiosa jak pro uživatele, kdo k němu smí přistupovat a odkud, jak bude vyhodnocen pokus o neautorizovaný přístup atd. Za zmínku stojí parametry security, kde je při tomto nastavení autentizace vyžadována povinně, a poslední dva řádky sekce, které se snaží o správné překódování českých znaků při připojování vzdálených svazků. Jak bylo řečeno dříve, nelze se na tento mechanismus spolehnout. Další sekce doplňují nastavení pro speciální druhy přístupu. Sekce[homes] je vyhrazená pro domácí adresáře uživatelů, sekce[public] pro veřejně přístupná data a poslední sekce je volitelná, zde sloučí pro image soubory se zálohami instalací počítačů na učebnách. V rámci sekcí se především nastavuje cesta, prohlížitelnost a zapisovatelnost. Definice ze sekce[global] jsou v dílčích sekcích libovolně předefinovatelné, takže do sekce[public] je povolen přístup bez autentizace, ovšem pouze pro čtení(security = share). Z historických důvodů se udržuje nejednoznačná syntax, takže například nastavení writable je negací nastavení read only. Kerberos a Samba Kerberizace Samby se obvykle provádí z důvodu bezpečnosti kritický je okamžik autentizace. Samba nemá implementován žádný vnitřní mechanismus šifrování autentizačního kanálu, takže po síti běží nechráněné otisky hesel. V zájmu zvýšení bezpečnosti lze správu autentizace přesunout na LDAP server, jak jsem uvedl v článcích[3] a[4]. Tím se ovšem nezbavíme nutnosti vést evidenci tří otisků jednoho hesla, jakkoli je jejich změna nyní proveditelná bez větších problémů. Ukazuje se, že synchronizace změn hesel uživatelů mezi systémem a Sambou v případě nasazení LDAPu na správu autentizace není ideální, za určitých okolností mechanismus nefunguje správně. Řešením tohoto problému je využití služby Kerberos, která správu autentizace převezme, resp. Samba server na Kerberos správu autentizace deleguje. Postup při implementaci následuje: 14

15 Samba serveru je vytvořen jeho vlastní principal. Klíč je opět třeba umístit do.keytab tak, aby k němu měl Samba server oprávnění. V konfiguračním souboru Samby je třeba v sekci[global] nastavit správný realm a direktivu use Kerberos keytab. Tak je zajištěno, že Samba ví, kde má nalézt identity přihlašujících se uživatelů a deleguje správu autentizace do příslušného realmu. Ještě jedna poznámka ke kerberizaci Samby: pokud je nutné nebo vhodné použít virtuální souborový systém smbfs nebo cifs pro připojení vzdálených svazků, pro kerberizovanou sambu není vhodný souborový systém cifs. Implementace Kerbera je zde nedokonalá a v testovacím provozu vykazuje značné nedostatky. Autoři modulu tvrdí, že implementace je v pořádku, nicméně realizovat cifs konexi na kerberizovanou Sambu se bohužel nepodařilo. MS Windows klient pro kerberizovanou Sambu Pracovní stanice MS Windows může být jak členem Samba domény, tak i Kerberos realmu. Nejprve je třeba pro stanici vytvořit vlastní principal, tentokrát s příslušným heslem. Toto heslo bude zapotřebí při zpětné registraci stanice do realmu. Na straně klientu nejprve pomocí speciálních nástrojů, které jsou součástí instalační sady systému zařadíme počítač do příslušné domény a k doméně přiřadíme principal KDC serveru. Pro první přihlášení je nutné zadat i heslo principalu, jak byl v předchozím kroku vytvořen na serveru. Pro úplnou aktivaci přístupu do Kerberos realmu je třeba každou stanici restartovat. V tomto okamžiku Windows dokáží autentizovat uživatele pomocí Kerbera, ale protože neexistuje žádný odpovídající uživatelský účet, nemá se uživatel kam přihlásit. Informace o uživatelích jsou dostupné na domain-master, pokud existuje, jinak jsou použiti uživatelé lokálně definovaní. Očekávané výsledky implementace Kerbera V současné době je v rámci Hospodářské fakulty provozován jeden Samba server, na němž je umístěn depozitář studijních materiálů. Kromě toho server poskytuje databázové služby(mysql, PostgreSQL), prostor pro individuální webové stránky a distribuované grafické rozhraní pro tenké klienty. Všechny tyto služby vyžadují autentizaci. Zatím se podařila první fáze autentizace, kterou si dříve řídily jednotlivé aplikace byla předána LDAP serveru, čímž se odstranily mnohdy ne zrovna bezpečně uložené databáze uživatelů. LDAP běží na samostatném počítači a v současné době integruje správu autentizace osobních počítačů, datových úložišť a autorizovaných přístupů k webovému serveru fakulty. Problémem zůstává nutnost opakovaných loginů a nedostupnost většiny služeb, především síťových svazků mimo doménu V současné době je tento nedostatek vnímán stále silněji a pro mnoho uživatelů je nepřijatelné používat náhradní metody přenosu dat(například využití klientu WinSCP). Vzhledem k zvyšování přenosových rychlostí veřejných sítí nastává čas na řešení. Navrhované řešení, budou-li dodrženy zásady a postupy uvedené v tomto dokumentu zajistí následující zlepšení: Zvýšení bezpečnosti autentizace. Z důvodu problematického zabezpečení přenosu autentizačních dat nebylo doposud možné uvolnit Samba svazky pro přístup mimo 15

16 doménu (ve skutečnosti jsou omezeny na podsíť /21 ze stejných důvodů). Pokud se implementace zdaří, bude možno přistupovat k Samba svazkům odkudkoli a dokonce bude možné uvolnit další služby, kde to doposud nebylo možné kvůli problematické podpoře SSL/TLS, jako například MySQL a jiné databáze. Zvýšení uživatelského komfortu. Doposud bylo nutné se ke každé službě zvlášť přihlašovat, takto obstará autentizaci po dobu trvání lístku Kerberos sám a uživatel není obtěžován dalšími loginy. Současný model využívá společnou autentizaci pro všechny služby a mimoto uživatelé zpravidla používají jedno jediné heslo na všechna přihlášení, takže budou brát tuto změnu pozitivně. S tím souvisí Omezení důsledků uživatelské nekázně. Odpadnou různě v privátních datech prohlížečů uschovaná hesla a další zdroje potenciálních narušení. Uživatele nelze přinutit dodržovat pravidla přístupu na zabezpečené zdroje a takto budou do značné míry eliminovány případné důsledky jejich nekázně, protože autentizace bude prováděna výhradně proti Kerberos serveru a to jen v případě, že uživatelův TGT vypršel. Menší šance pro útočníky. Přenos autentizačních dat bude probíhat nikoli směrem ke službě, ale k důvěryhodnému serveru. Protože je komunikace šifrována na základě sdíleného tajemství, potenciální účastník by měl mít při pokusu o odposlech mizivou šanci na úspěch. Cizí lístek je útočníkovi k ničemu, protože je na něm uložena identifikace neshodující se s jeho vlastní, kromě toho bude pravděpodobně KDC neznámý. Navržené řešení je prozatím ve stavu experimentů. V krátké době, nejlépe do začátku akademického roku by mělo být dosaženo plné implementace Kerbera na stávající služby při zachování existujících omezení a následně během testovacího provozu, kdy budou simulovány různé způsoby útoků a vyhodnocován jejich výsledek by se přistoupilo po zhodnocení k otevření služeb mimo doménu Předpokládá se úplná realizace do konce roku Literatura [1]DIERKS, T., ALLEN, C. The TLS Protocol Version 1.0. RFC Certicom, [online] [2]KOHL, J., NEUMAN, C. The Kerberos Network Authentication Service(V5). RFC Digital Equipment Corporation, 1993[online] [3]HUBÍNKA, Z. Poznámky k LDAP [online] ISSN [4]HUBÍNKA, Z. Nastavení LDAP serveru [online] ISSN [5]GLEESON, B., LIN, A., HEINANEN, J a kol. IP Based Virtual Private Networks. RFC Nortel Networks, 2000.[online] [6] OpenLDAP Software 2.3 Administrator s Guide. University of Michigan, [online] [7] Kerberos V5 System Administrator s Guide. Massachusetts Institute of Technology, [online] [8]VERNOOIJ,J.R.,TERPSTRA,J.H.,CARTER,G.TheOfficialSamba3.2.x HOWTO and Reference Guide.[online] 16

Windows Server 2003 Active Directory

Windows Server 2003 Active Directory Windows Server 2003 Active Directory Active Directory ukládá informace o počítačích, uživatelích a ostatních objektech v síti. Zpřístupňuje tyto zdroje uživatelům. Poskytuje komplexní informace o organizaci,

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Radim Dolák Gymnázium a Obchodní akademie Orlová

Radim Dolák Gymnázium a Obchodní akademie Orlová Radim Dolák Gymnázium a Obchodní akademie Orlová Úvod Cíl prezentace Samba historie a budoucnost Samba - vlastnosti Samba verze 4 a 4.1 Instalace Současný a plánovaný stav Instalace Správa Testování a

Více

Instalace Active Directory

Instalace Active Directory Instalace Active Directory Proces implementace Active Directory se sestává z několika kroků. Před vlastní instalací je zapotřebí zvážit mnoho faktorů. Špatně navržená struktura Active Directory způsobí

Více

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009

Webové rozhraní pro datové úložiště. Obhajoba bakalářské práce Radek Šipka, jaro 2009 Webové rozhraní pro datové úložiště Obhajoba bakalářské práce Radek Šipka, jaro 2009 Úvod Cílem práce bylo reimplementovat stávající webové rozhraní datového úložiště MU. Obsah prezentace Úložiště nasazené

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Active Directory organizační jednotky, uživatelé a skupiny

Active Directory organizační jednotky, uživatelé a skupiny Active Directory organizační jednotky, uživatelé a skupiny V databázi Active Directory jsou uloženy objekty organizačních jednotek, uživatelských účtů a skupin. Organizační jednotka představuje jakýsi

Více

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007 X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007 Program úloha jmenných služeb informace ve jmenných službách jmenné služby X.500 DNS ostatní Jan Kubr - X36PKO 2 4/2007 Úloha jmenných služeb specializovaná

Více

Windows a Linux. Přednáška číslo 7

Windows a Linux. Přednáška číslo 7 Windows a Linux Přednáška číslo 7 Vztah Windows a Linuxu Převod souborů Konverze Diakritika Připojení disků Aktuální počítač Vzdálený počítač Konverze souborů MS Office vs. OpenOffice.org problémy Kódování

Více

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Příručka nastavení funkcí snímání

Příručka nastavení funkcí snímání Příručka nastavení funkcí snímání WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_CS 2004. Všechna práva vyhrazena. Uplatňovaná ochrana autorských práv se vztahuje na všechny formy a záležitosti

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

plussystem Příručka k instalaci systému

plussystem Příručka k instalaci systému plussystem Příručka k instalaci systému Tato příručka je určena zejména prodejcům systému a případně koncovým uživatelům. Poskytuje návod, jak provést potřebná nastavení komponent. ITFutuRe s.r.o. 26.2.2015

Více

Certifikáty a jejich použití

Certifikáty a jejich použití Certifikáty a jejich použití Verze 1.0 Vydání certifikátu pro AIS Aby mohl AIS volat egon služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem

Více

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů Jedním z řešení bezpečného vzdáleného přístupu mobilních uživatelů k firemnímu informačnímu systému je použití technologie

Více

Administrace služby - GTS Network Storage

Administrace služby - GTS Network Storage 1. Návod k ovládání programu Cisco VPN Client (IP SECový tunel pro přístup GTS Network Storage) Program Cisco VPN client lze bezplatně stáhnout z webových stránek GTS pod odkazem: Software ke stažení http://www.gts.cz/cs/zakaznicka-podpora/technicka-podpora/gtspremium-net-vpn-client/software-ke-stazeni.shtml

Více

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

Vzdálený přístup k počítačům

Vzdálený přístup k počítačům Vzdálený přístup k počítačům jedna z nejstarších služeb vzdálený přístup k sálovým počítačům nejprve vzdálené terminály později terminálová emulace jako jedna ze služeb počítačové sítě současnost využíváno

Více

Audit bezpečnosti počítačové sítě

Audit bezpečnosti počítačové sítě Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Semestrální práce Y36SPS Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz. http://sut.sh.cvut.cz

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz. http://sut.sh.cvut.cz Šifrování (2), FTP Petr Koloros p.koloros [at] sh.cvut.cz http://sut.sh.cvut.cz Obsah Úvod do šifrování FTP FTP server ProFTPd Šifrovaný přístup Virtuální servery Síť FTPek na klíč FTP File Transfer Protokol

Více

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS 1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS Pro přístup do administrace služby GTS Bezpečný Internet používejte zákaznický WebCare GTS Czech, který je přístupny přes webové

Více

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. 2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. GEOVAP, spol. s r. o. Čechovo nábřeží 1790 530 03 Pardubice Česká republika +420 466 024 618 http://www.geovap.cz V dokumentu použité názvy programových

Více

Osnova dnešní přednášky

Osnova dnešní přednášky Osnova dnešní přednášky Pracovní skupina x doména Active Directory Něco z historie Použité technologie Pojmy Instalace Active Directory DNS DNS v Active Directory Pracovní skupina x doména Pracovní skupina

Více

APS Administrator.OP

APS Administrator.OP APS Administrator.OP Rozšiřující webový modul pro APS Administrator Přehled přítomnosti osob v oblastech a místnostech Instalační a uživatelská příručka 2004 2013,TECH FASS s.r.o., Věštínská 1611/19, Praha,

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ Identifikační údaje školy Číslo projektu Název projektu Číslo a název šablony Autor Tematická oblast Číslo a název materiálu Vyšší odborná škola a Střední škola, Varnsdorf, příspěvková organizace Bratislavská

Více

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince 2006. Enabling Grids for E-sciencE. www.eu-egee.org

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince 2006. Enabling Grids for E-sciencE. www.eu-egee.org Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006 www.eu-egee.org EGEE and glite are registered trademarks Proč bezpečnost Ochrana uživatele citlivá data ochrana výzkumu Ochrana majitele prostředků

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ PŘÍRUČKA SÍŤOVÝCH APLIKACÍ Uložení protokolu tisku na síť Verze 0 CZE Definice poznámek V celé Příručce uživatele používáme následující ikony: Poznámky uvádějí, jak reagovat na situaci, která může nastat,

Více

Připojení systémů CNC 8x9 DUAL do sítí pomocí protokolu TCP/IP (Platí od verze panelu 40.31)

Připojení systémů CNC 8x9 DUAL do sítí pomocí protokolu TCP/IP (Platí od verze panelu 40.31) Připojení systémů CNC 8x9 DUAL do sítí pomocí protokolu TCP/IP (Platí od verze panelu 40.31) A) Nastavení v řídicím systému: CNC 836.KNF V souboru CNC836.KNF je třeba mít správně nastavené tyto parametry:

Více

Další nástroje pro testování

Další nástroje pro testování Další nástroje pro testování PingPlotter grafická varianta programu ping umožňuje soustavné monitorování, archivování apod. www.pingplotter.com VisualRoute grafický traceroute visualroute.visualware.com

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

TC-502L. Tenký klient

TC-502L. Tenký klient TC-502L Tenký klient Popis přístroje Tenký klient s kompletní podporou pro připojení do systémů Windows 7, Vista, Windows 2008, Windows 2003, Windows XP Pro, Linux servery. Disponuje 1x rozhraním LAN 10/100,

Více

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň Anonym poslal otázku na administrátora: Nezdá se ti blbý odpovídat na anonymní otázky z internetu? Adminova odpověď: Odpovídám zadavateli anonymní otázky, majiteli IP 90.176.19.53, broadband9.iol.cz, Jaroslavovi

Více

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen. 9. Systém DNS Studijní cíl Představíme si problematiku struktury a tvorby doménových jmen. Doba nutná k nastudování 1,5 hodiny Uvedená kapitola vychází ze zdroje [1]. Celý Internet je z hlediska pojmenovávání

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém

Více

8.2 Používání a tvorba databází

8.2 Používání a tvorba databází 8.2 Používání a tvorba databází Slide 1 8.2.1 Základní pojmy z oblasti relačních databází Slide 2 Databáze ~ Evidence lidí peněz věcí... výběry, výpisy, početní úkony Slide 3 Pojmy tabulka, pole, záznam

Více

BRICSCAD V15. Licencování

BRICSCAD V15. Licencování BRICSCAD V15 Licencování Protea spol. s r.o. Makovského 1339/16 236 00 Praha 6 - Řepy tel.: 235 316 232, 235 316 237 fax: 235 316 038 e-mail: obchod@protea.cz web: www.protea.cz Copyright Protea spol.

Více

APS 400 nadministrator

APS 400 nadministrator APS 400 APS 400 nadministrator Balík programů pro správu systému APS 400 Instalační příručka 2004 2008,TECH FASS s.r.o., Plavecká 503, 252 42 Jesenice, www.techfass.cz, techfass@techfass.cz (vydáno dne

Více

Úvod do informatiky 5)

Úvod do informatiky 5) PŘEHLED PŘEDNÁŠKY Internet Protokol a služba Jmenná služba (DNS) URL adresa Elektronická pošta Přenos souborů (FTP) World Wide Web (WWW) Téměř zapomenuté služby 1 INTERNET 2 PROTOKOL A SLUŽBA Protokol

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian 02 konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian Kernighan v r. 1973 přepsán do jazyka C Psát programy,

Více

TC-502L TC-60xL. Tenký klient

TC-502L TC-60xL. Tenký klient TC-502L TC-60xL Tenký klient Popis přístroje Tenký klient TC-502L s kompletní podporou pro připojení do systémů Windows 7, Vista, Windows 2008, Windows 2003, Windows XP Pro, Linux servery. TC-604 navíc

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. 2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. GEOVAP, spol. s r. o. Čechovo nábřeží 1790 530 03 Pardubice Česká republika +420 466 024 618 http://www.geovap.cz V dokumentu použité názvy programových

Více

Použití čipových karet v IT úřadu

Použití čipových karet v IT úřadu Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1 Použití bezkontaktních čipových karet Přístupové systémy

Více

Nová áplikáce etesty Př í přává PC ž ádátele

Nová áplikáce etesty Př í přává PC ž ádátele Nová áplikáce etesty Př í přává PC ž ádátele Verze 0.6 Datum aktualizace 20. 12. 2014 Obsah 1 Příprava PC žadatele... 2 1.1 Splnění technických požadavků... 2 1.2 Prostředí PC pro žadatele... 2 1.3 Příprava

Více

Semestrální projekt do předmětu SPS

Semestrální projekt do předmětu SPS Semestrální projekt do předmětu SPS Název projektu: Instalace a provoz protokolu IPv6 v nových verzích MS Windows (XP). Ověření proti routerům Cisco a Linux. Cíl projektu: Autoři: Cílem tohoto projektu

Více

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY Koncept řešení EOS komplexní řešení informačních systémů EVIDENCE ORGANIZAČNÍ STRUKTURY Městský rok informatiky v Olomouci Datum: 12.6. 2009 MARBES CONSULTING s.r.o. Brojova 16, 326 00 Plzeň Jaroslav PEROUTKA

Více

Programové vybavení OKsmart pro využití čipových karet

Programové vybavení OKsmart pro využití čipových karet Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karet SmartCard

Více

Prezentace platebního systému PAIMA

Prezentace platebního systému PAIMA Prezentace platebního systému PAIMA Ing. Vlastimil Beneš 19.5.2011 SmartCard Forum 2011 1 Obsah prezentace Základní vlastnosti Architektura Proč DESFire Použití SAM Závěr 19.5.2011 SmartCard Forum 2011

Více

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013 Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování

Více

Střední odborná škola a Střední odborné učiliště, Hořovice

Střední odborná škola a Střední odborné učiliště, Hořovice Kód DUM : VY_32_INOVACE_LIN.1.09 Název materiálu: Anotace Autor Jazyk Očekávaný výstup 09- Síťové služby konfigurace souborového serveru SAMBA DUM naučí žáky na základní úrovni ovládat a konfigurovat souborový

Více

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator Vzdálená správa... 2 ESET Remote Administrator Server (ERAS)... 2 Licenční klíč soubor *.LIC... 2 ESET Remote

Více

Instrukce pro vzdálené připojení do učebny 39d

Instrukce pro vzdálené připojení do učebny 39d Instrukce pro vzdálené připojení do učebny 39d Každá skupina má k dispozici jedno sdílené připojení, prostřednictvím kterého se může vzdáleně připojit do učebny 39d a pracovat na svých semestrálních projektech

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

PoskytovanéslužbyvsítiTUO-Net. PetrOlivka

PoskytovanéslužbyvsítiTUO-Net. PetrOlivka PoskytovanéslužbyvsítiTUO-Net PetrOlivka katedra informatiky, CIT email: petr.olivka@vsb.cz kancelář: A1035 Informace pro uživatele a o uživatelích: http://uzivatel.vsb.cz Na těchto stránkách lze nalézt:

Více

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra Symantec pcanywhere 12.0 Špičkové řešení vzdáleného ovládání pro odbornou pomoc a řešení problémů Co je Symantec pcanywhere 12.0? Symantec pcanywhere, přední světové řešení vzdáleného ovládání*, pomáhá

Více

Dokumentace aplikace Chemon

Dokumentace aplikace Chemon Dokumentace aplikace Chemon Vydání 2.0 Technologie 2000 18.09.2015 Obsah 1 Správa uživatelů programu Chemon 1 1.1 Popis systému uživatelů....................................... 1 1.2 Identifikace uživatelů.........................................

Více

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů Verze dokumentu: 1.2 Datum vydání: 25.května 2012 Klasifikace: Veřejný dokument Obsah 1. Žádost

Více

Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008

Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008 Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008 1. Instalace na straně serveru Instalace aplikace BB24 24x7 vyžaduje základní znalosti z administrace SQL serveru. Při dodržení následujícího

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

IntraVUE 2.0.3 Co je nového

IntraVUE 2.0.3 Co je nového IntraVUE 2.0.3 Co je nového Michal Tauchman Pantek (CS) s.r.o. Červen 2008 Strana 2/8 Úvod IntraVUE je diagnostický a podpůrný softwarový nástroj pro řešení komunikačních problémů, vizualizaci a dokumentaci

Více

JIHOMORAVSKÝ KRAJ Žerotínovo nám. 3/5, 601 82 Brno

JIHOMORAVSKÝ KRAJ Žerotínovo nám. 3/5, 601 82 Brno JIHOMORAVSKÝ KRAJ Žerotínovo nám. 3/5, 601 82 Brno Váš dopis zn.: Ze dne: Č. j.: JMK 137295/2014 Sp. zn.: S-JMK Vyřizuje: Megová Telefon: 541 651 338 Počet listů: 6 Počet příloh/listů : 0/0 Datum: 4. 12.

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

Administrace služby IP komplet premium

Administrace služby IP komplet premium 1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare T-Mobile Czech Republic Pro přístup do administrace služby Bezpečný Internet používejte zákaznický WebCare T-Mobile Czech Republic,

Více

24 Uživatelské výběry

24 Uživatelské výběry 24 Uživatelské výběry Uživatelský modul Uživatelské výběry slouží k vytváření, správě a následnému používání tématicky seskupených osob a organizací včetně jejich kontaktních údajů. Modul umožňuje hromadnou

Více

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I Téma 3: Správa uživatelského přístupu a zabezpečení I 1 Teoretické znalosti V tomto cvičení si vysvětlíme, co to uživatelské a skupinové účty a jak jsou ve Windows 7 spravovány. Vyzkoušíte optimalizaci

Více

Z internetu do nemocnice bezpečně a snadno

Z internetu do nemocnice bezpečně a snadno Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1 Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura

Více

Úvod do informačních služeb Internetu

Úvod do informačních služeb Internetu Úvod do informačních služeb Internetu Rozdělení počítačových sítí Počítačové sítě se obecně rozdělují do základních typů podle toho, na jak velkém území spojují počítače a jaké spojovací prostředky k tomu

Více

Datová úložiště v MetaCentru a okolí. David Antoš

Datová úložiště v MetaCentru a okolí. David Antoš Datová úložiště v MetaCentru a okolí David Antoš Přehled úložiště v MetaCentru proč (většinou) nemám počítat nad daty ze /storage? proč je v Brně plné pole? jak mám přesouvat větší data? úložiště v okolí

Více

BALISTICKÝ MĚŘICÍ SYSTÉM

BALISTICKÝ MĚŘICÍ SYSTÉM BALISTICKÝ MĚŘICÍ SYSTÉM UŽIVATELSKÁ PŘÍRUČKA Verze 2.3 2007 OBSAH 1. ÚVOD... 5 2. HLAVNÍ OKNO... 6 3. MENU... 7 3.1 Soubor... 7 3.2 Měření...11 3.3 Zařízení...16 3.4 Graf...17 3.5 Pohled...17 1. ÚVOD

Více

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény DNSSEC Validátor - doplněk prohlížečů proti podvržení domény CZ.NIC z.s.p.o. Martin Straka / martin.straka@nic.cz Konference Internet a Technologie 12 24.11.2012 1 Obsah prezentace Stručný úvod do DNS

Více

INFORMAČNÍ SYSTÉM VIDIUM A VYUŽITÍ MODERNÍCH TECHNOLOGIÍ

INFORMAČNÍ SYSTÉM VIDIUM A VYUŽITÍ MODERNÍCH TECHNOLOGIÍ INFORMAČNÍ SYSTÉM VIDIUM A VYUŽITÍ MODERNÍCH TECHNOLOGIÍ Michal Brožek, Dominik Svěch, Jaroslav Štefaník MEDIUM SOFT a.s., Cihelní 14, 702 00 Ostrava, ČR Abstrakt Neustále rostoucí význam sběru dat, možnost

Více

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů Verze dokumentu: 1.7 Datum vydání: 31. srpna 2015 Klasifikace: Veřejný dokument Obsah 1. Žádost o certifikát...

Více

Sdílení uživatelských identit. Petr Žabička, Václav Rosecký Moravská zemská knihovna v Brně

Sdílení uživatelských identit. Petr Žabička, Václav Rosecký Moravská zemská knihovna v Brně Sdílení uživatelských identit Petr Žabička, Václav Rosecký Moravská zemská knihovna v Brně Obsah 1. Proč sdílet identity 2. Koncepce rozvoje knihoven 3. Současný stav 4. Implementace 5. Závěr Proč sdílet

Více

Uživatelská dokumentace

Uživatelská dokumentace Uživatelská dokumentace k projektu CZECH POINT Popis použití komerčního a kvalifikovaného certifikátu Vytvořeno dne: 20.5.2008 Aktualizováno: 23.5.2008 Verze: 1.3 Obsah Uživatelská dokumentace...1 Obsah...2

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA Obsah Cyclope Print Management Software- uživatelská příručka... 1 1. Přehled produktu... 2 2. Stručný popis produtku CPMS... 2 2.1. Stažení CPMS...

Více

Příručka pro nasazení a správu výukového systému edu-learning

Příručka pro nasazení a správu výukového systému edu-learning Příručka pro nasazení a správu výukového systému edu-learning Obsah: Edu-learning pro firmy a organizace... 2 Varianty nasazení... 2 A. Systém umístěný v lokální síti zákazníka... 3 B. Systém umístěný

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím)

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím) Object 12 3 Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.3.1.1 Windows server 2003 (seznámení s nasazením a použitím) Obor: Mechanik Elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední

Více

POZVÁNKA NA KURZY. Literatura Ke všem kurzům jsou poskytovány metodické příručky pro školství v elektronické podobě.

POZVÁNKA NA KURZY. Literatura Ke všem kurzům jsou poskytovány metodické příručky pro školství v elektronické podobě. POZVÁNKA NA KURZY Dovolujeme si zaměstnance Vaší školy pozvat na bezplatná školení sponzorovaná firmou Microsoft, která se konají na naší škole. Tato nabídka se týká všech zaměstnanců školství pedagogů

Více

Uživatel počítačové sítě

Uživatel počítačové sítě Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00

Více

Versiondog 2.1.1 Co je nového

Versiondog 2.1.1 Co je nového Versiondog 2.1.1 Co je nového Lukáš Rejfek, Pantek (CS) s.r.o. 11/2012 Strana 2 Úvod Nová verze produktu Versiondog 2.1.1 přináší oproti verzím 1.52.x mnoho nových funkčností i nové typy komponent, které

Více

B Series Waterproof Model. IP Kamera. Uživatelský manuál

B Series Waterproof Model. IP Kamera. Uživatelský manuál B Series Waterproof Model IP Kamera Uživatelský manuál Obsah 1 ÚVODEM... 3 2 VZHLED A ROZHRANÍ... 3 3 PŘIPOJENÍ KE KAMEŘE Z VAŠÍ LAN SÍTĚ... 4 4 PŘIPOJENÍ KAMERY PŘES WAN ROZHRANÍ... 8 5 DALŠÍ NASTAVENÍ...

Více

Systém Přenos verze 3.0

Systém Přenos verze 3.0 Systém Přenos verze 3.0 (bezpečná komunikace a automatizované zpracování dat) CTlabs spol. s r.o. Pernštejnské Janovice 28, 593 01 Bystřice nad Pernštejnem, tel/fax.: 0505-551 011 www.ctlabs.cz info@ctlabs.cz

Více

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2 Pavel Smolík Top Account Manager 2 Obsah prezentace Obsah Úvod. Architektura ISDS. Poskytované služby. Způsoby přístupu k ISDS. Bezpečnost. Doplňkové

Více

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard Instalace na pobočky Manuál Vydání 1.1b Verze SW 1.4 Instalace na pobočky Aktualizace 17.3.2010 1 1. Instalace SW Kronos

Více

Přechod na síťovou verzi programu

Přechod na síťovou verzi programu Přechod na síťovou verzi programu Poslední aktualizace 25.10.2013 Přechod na síťovou verzi programu 1 Realizace počítačové sítě 3 2 Původní počítač bude provozován jako server 3 2.1 Průběh... nové síťové

Více

Zapomeňte už na FTP a přenášejte soubory bezpečně

Zapomeňte už na FTP a přenášejte soubory bezpečně Petr Krčmář Zapomeňte už na FTP a přenášejte soubory bezpečně 8. listopadu 2009 LinuxAlt, Brno O čem to bude? Proč říct ne protokolu FTP Jak si FTP trochu vylepšit Co máš proti FTP? FTP je bohužel velmi

Více