Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Objasni pojam Middleware?
- Spajamo mrežnu infrastrukturu s korisničkim aplikacijama.
- Skup temeljnih programskih komponenti koje omogućuju skalabilnost aplikacija i mreža.
- Osnovni Core čine: identifikatori, imenici, certifikati, PKI, AAA (Autentifikacija,Autorizacija,Accounting)
- Što je imenik (directory) i po čemu se razlikuje od klasične baze podataka?
- Specijalizirana baza podataka koja se koristi za pohranu i dohvat informacija o osobama, ustanovama, servisima, resursima. Sadrži posebne mrežne protokole za pristup (whois,x.500,LDAP). Koristi se: ranije za imenički servis, danas je osnova Middlewarea.
- Koje imeničke standarde (protokole) poznajete?
- x.500, LDAP, WHOIS ++, NETFIND,CCSO (ph)
- U kontekstu X.500 standarda, objasnite što je RDN?
- Relative Distunguished Name (relativno jednostavno ime)
- čine ga jedan ili više atributa, svi RDN čine Distunguished Name. Zapis mora imati jedan ili više atributa razreda (Objectclass attributes). Objectclass definira vrstu podataka koja se sprema u imenik, opisuje zapis, određuje skup atributa, atributi mogu biti obvezni ili opcionalni
- U kontekstu X.500 standarda, objasnite što je DIT?
- Directory Information Tree (DIT) temelji se na hijerarhijskom modelu-stabla informacija
- DIT je precizno i geografski organiziran, imenička shema jasno definira pravila
- Zapis (entry) opisuje objekt (osobu, organizaciju, uslugu)
- Zapis je jednoznačno određen svojim jedinstvenim imenom (Distinguished Name – DN)
- Na svakom nivou hijerarhije zapis ima jedinstveno ime (Relative DN- RDN)
- U kontekstu X.500/LDAP standarda: objasnite što je entry (zapis) a što ObjectClass (razred objekta)?
- Entry (Zapis)-opisuje objekt, set atributa (osobu, organizaciju, uslugu)
- ObjectClass (razred objekta)- definira vrstu podataka, opisuje zapis, određuje skup atributa, može naslijediti atribute, mogu biti obavezan ili opcionalni.
- Što je LDIF?
- LDAP Data Interchange format
- Format za razmjenu podataka
- Ldif je format tekstualne datoteke koji se koristi za operacije nad objektima u LDAP-u. Operacije tipa kreiranje objekta, modifikacija, razmjena... Sve operacije koje se rade nad objektima.
- Opiši kako teče komunikacija izmedju LDAP klijenta i poslužitelja?
- Klijent uspostavlja vezu s LDAP poslužiteljem. Ta se procedura naziva „bind“
- Podaci potrebni klijentu za spajanje su: adresa i port LDAP poslužitelja (TCP 389)
- Za autenticirani pristup: korisničko ime i lozinka
- Poslužitelj dopušta operacije čitanja, promjene i pretraživanja sadržaja sukladno pravima pristupa. Za svakog korisnika definiran je skup pravila koji definiraju operacije koje korisnik smije raditi na poslužitelju.
- Što je imenička shema?
- Shemom se definira struktura, sintaksa i semantika atributa
- Shemom ne bi trebalo modificirati
- Zašto je važno pridržavati se izvornih definicija atributa iz neke imeničke sheme?
- Zato jer kod modifikacije sheme postoji mogučnost da neki mrežni resurs neće prepoznati neki modificirani atribut.
- Objasni što označava kratica AAA?
- Authentication, Authorization, Accounting
- autentikacija i autorizacijska infrastruktura
- inter-institucionalna autentikacija i autorizacija
- Objasnite razliku između procesa autentikacije i autorizacije?
- Autentikacija je provjeravanje elektroničkog identiteta korisnika. Provodi se na temelju onoga što korisnik zna, onog što korisnik ima i onog što korisnik jest. Metodu biramo prema sigurnosnim potrebama.
- Autorizacija je dodjeljivanje razine prava pristupa resursu. Provodi se nakon uspješno obavljene autentifikacije. Odluka se donosi na temelju raspoloživih podataka o korisniku i pravila pristupa.
- Opišite model AAI ?
- Sastoji se od 3 temeljna čimbenika: korisnik, matična ustanova, vlasnik resursa
- korisnik pristupa resursu preko pristupnog mehanizma. (Autentifikacija)
- pristupni mehanizam autenticira korisnika kod nadležne matične ustanove
- pristupni mehanizam od matične ustanove traži autorizacijske atribute
- na osnovi dobivenih podataka daje prava pristupa korisniku (Autorizacija)
- Navedite 3 moguća scenarija za autorizaciju (nakon uspješne autentikacije)?
- AuthZ=AuthN
- AuthZ=AuthN + dodatni atributi - strong privacy
- AuthZ=AuthN + dodatni atributi + info koje pamti resurs lokalno
- Moguća upotreba dediciranih AuthZ poslužitelja
- Kod pristupa mreži cilj je implementirati pravila kontrole pristupa (access lists)
- Zbog čega je za AAI sustave bitna kontrola sjednice (session control)?
- omogućava identifikaciju klijenta
- pridonosi boljemu radu AAI
- zahtjevni AutZ proces se ne mora ponavljati.
- Čemu služe protokoli RADIUS i SAML?
- RADIUS (Remote Authentication Dial In User Service)- protokol koji omogućuje upravljanje AAA procesom.
- klijent-poslužitelj model, definiran na aplikacijskom sloju
- koristi UDP, široko korišten pri AA(A) za usluge pristupa mreži: dial-up, wired, wireless, vpn, ADSL
- SAML (Security Assertion Markup Language)- aktualna inačica SAML 2.0 cjeloviti okvir za razmjenu povjerljivih informacija. Temelji se na potvrdama. Oslanja se na XML,SOAP i HTTP.
- Objasnite razliku između SSO i SLO u kontekstu AAI?
- SSO (Single Sign On) - autenticiraj se jednom, a pristupaj više puta raznim mrežnim resursima ili aplikacijama; generira se SSO cookie.
- Resurs autenticira korisnika kod izdavatelja el. Identiteta i vraća SAML odgovor
- SSO cookie prosljeđuje SAML odgovor na ACS url; korisnik dobiva pristup resursu.
- SLO koristi SAML 2.0, logut informacija šalje se svim aplikacijama koje dijele aktivnu SSO sjednicu
- Što je Shibboleth?
- Distribuirani federativni koncept
- sustav orijentiran na aplikacije(web), o autentikaciji odlučuju matične ustanove.
- vlasnici resursa(davatelji usluge) traže podatke od matičnih ustanova i donose odluke
- uvodi SAML (Security Assertions Markup Language) u primjenu.
- Objasnite što je eduroam?
- Koristi 802.1x protokole, detektira korisnika na kraju mreže, port na aktivnom pristupnom mrežnom uređaju (NAS) može biti AP ili preklopnik
- Dok se ne potvrdi identitet korisnika dozvoljen je samo promet EAP (Extensible Authentication Protocol) paketa ostalo je blokirano na dana link razini ( HTTP ili DHCP)
- enkripcija podataka korištenjem dinamičkih ključeva (WPA/TKIP, WPA2/AES)
- Objasnite koncept VO (virtualnih organizacija)?
- Model u kojem o pripadnosti grupi i atributima vezanim uz nju odlučuje i brine matična ustanova nije dugoročno održiv a ni skalabilan. Rješenje je dodatni repozitorij (izvor) atributa. Koncept virtualnih organizacija (VO)
Add Comment
Please, Sign In to add comment