Professional Documents
Culture Documents
Comparison of Authentication Technology
Comparison of Authentication Technology
บทคัดยอ 1. บทนํา
1
อินเทอรเน็ตเปนอยางมาก แนวคิดหลักของ OpenID คือ ขอดี
การทําบัตรประจําตัวประชาชนบนโลกอินเทอรเน็ต ที่ 1. งายตอการนํามาใชงานรวมกับ software เดิมที่มีอยู
สามารถนําไปยืนยันตัวตนตามที่ตางๆ ได 2. ใชงานไดทั้ง website และ application server
3. ใชงานไดกับหลากหลายระบบปฏิบัติการ
ขอดี
1. สะดวกในการเข า ใช ง านเว็ บ ไซต ที่ ต อ งทํ า การ ขอเสีย
ล็ อ กอิ น ซึ่ ง เว็ บ ไซต นั้ น ต อ งรองรั บ มาตรฐานของ 1. รันบน Java Virtual Machine จึงทํางานไดชากวา
OpenID native code
2. นําไปใชงานไดงายและสะดวก 2. ไมสามารถเขาถึง resource โดยขาม domain ได
3. มีการใชงานอยางแพรหลาย
ขอเสีย LDAP
1. ไมสามารถใชงานกับ stand alone applicationได หรือ Lightweight Directory Access
LDAP
2. มีขอจํากัดใจการปรับแตงและจัดการขอมูลเนื่องจาก Protocol เปน protocol ที่มีการพัฒนามาจาก Protocol
ขอมูลทั้งหมดนั้นอยูใน OpenID server X.500 (X.500 เปนมาตรฐานเกี่ยวกับ Directory ที่สราง
ขึ้นบน OSI Model) ที่ใชในการเขาถึงปรับปรุงขอมูล
OpenSSO ภายใน Directory ซึ่ง Directory นั้นเปรียบเสมือนกับ
database รูปแบบหนึ่งที่มีการเก็บขอมูลเปน object
Open Web SSO project (OpenSSO)
ใหบริการการยืนยันตัวตนเพื่อใหงายตอการนําไปพัฒนา
ตอของ transparent single sign-on (SSO) ในฐานะที่ LDAP มี ก ารทํ า งานอยู ใ นระดั บ ของ
เปนองคประกอบของระบบการรักษาความปลอดภัยใน Application Layer โดยทํางานบน protocol TCP/IP
network infrastructure. OpenSSO ใหบริการองคกร แนว คิดของ LDAP เกิดจากความตองการที่จะใหเครื่อง
สําหรับการทํา web application ซึ่งอาจจะดําเนินการ Client (Lightweifht PC Client) นั้นสามารถเขาถึง
ยืนยันตัวตนเปนจํานวนมาก และหลากหลาย platform Directory ของมาตรฐาน X.500 ในฝงเซิรฟเวอรผาน
เชน web และ application server โครงการนี้มีรากฐาน เครือขายอินเตอรเน็ตได ซึ่งมาตรฐาน X.500 นี้มีความ
บน code base ของ Sun Java(TM) System Access ยุงยากซับซอนของ protocol อยู LDAP จึงไดถูก
Manager ตัวแกนของผลิตภัณฑ identity infrastructure ปรับปรุงขึ้นจากการนํ าเอามาตรฐาน X.500 มาพัฒนา
ที่ถูกนําเสนอโดย Sun Microsystems. โดยยึด function เดิมๆ เปนสวนมาก และตัดบางสวนที่
ทําให X.500 มีขนาดใหญเกินไปออก
2
3. และ สามารถสงรหัสผานในรูปแบบขอความธรรม ขอเสีย
ได ในขณะที่ X.500 นั้นตองใชระบบการเขารหัสที่ 1. การคอนฟ ก ยุ ง ยากมาก ต อ งใช คํ า สั่ ง เฉพาะของ
เขมงวด LDAP ในการเพิ่ม / ลบผูใชออกจากฐานขอมูล
4. LDAP ใชการเขารหัสที่งายกวา X.500 เทานั้น
2. โครงสรางขอมูลซับซอน
LDAP มีหนาที่การทํางานที่สามารถแบง
3. การนํา LDAP มาปรับใชใหเขากับระบบงานเดิมที่
หัวขอใหญๆ ได 3 หัวขอใหญๆ
มี อ ยู แ ล ว อ า จ ต อ ง มี ก า ร อ อ ก แ บ บ network
1. Authentication and Control (การตรวจสอบและ infrastructure ใหม หากตองการเชื่อมตอขอมูลกับ
การควบคุม) application จํานวนไมมาก อาจทําใหเสียคาใชจาย
1.1. Bind คือการเชื่อมตอ LDAP Directory โดย มากกวาการใชฐานขอมูลทั่วไป
ที่ Client จะแสดงขอมูลของตนเอง เพื่อขอ
username และ password
Remote Authentication Dial in User Service
1.2. Unbind เปนคําสั่งในการยกเลิกการเชื่อมกับ (RADIUS)
protocol ของ LDAP
คือโปรโตคอลที่มีไวสําหรับการประมวลผล
2. Query
2.1. Search คือการคนหาหรืออานขอมูลโดยจะมี จากสวนกลางผานระบบเครือขายแบบ(AAA) คือการ
การระบุคาของ attribute พิสูจนตัวตัน การใหสิทธิ์ และการที่สามารถตรวจสอบ
2.2. Compare entry คือการเปรียบเทียบขอมูลที่
ระบุไดวาการกระทํานั้นเปนของบุคคลใด RADIUS ถูก
ตองการกับคําที่ใกลเคียง พัฒนาโดย บริษัท Livingston Enterprises ในป 1991
3. Update และถูกพัฒนาตอจนผานมาตรฐานขององคกร IETF
3.1. Add คือ การเพิ่ม entry ใน directory
เนื่องจาก RADIUS เปนเทคโนโลยีข อง
3.2. Delete คือ การลบ entry ใน directory
โปรโตคอล เปนกวาง ผูคนจึงนิยมนําไปใชกับ ISPs ใน
3.3. Modify entry , Modify DN/RDN คือ การ
การเชื่อมตอกับอินเตอรเน็ต หรือบริการทางเครือขาย
ปรับปรุง entry ที่มีอยู
อื่นๆ ซึ่งเครือขายเหลานี้นั้นสามารถใชงานรวมกับ
ซึ่งเกิดจาก attribute และ value ที่มีการ Add และ modems, DSL, access points, VPNs, network ports,
web servers, etc
delete
3
1. พิสู จ น ตัว ตนของผู ใ ช หรื อ อุ ป กรณ ที่ ม าเชื่ อ มต อ Group Policy Object เปนการปรับแตงคาเพื่อ
กอนที่จะอนุญาตใหมีการเชื่อตออินเตอรเน็ต ควบคุมและจัดการเครื่องไมโครคอมพิวเตอรของผูใชที่
2. การใหและกําหนดสิทธิ์ของผูใช หรือ อุปกรณที่มา ล็อคออนเขาสู Domain
เชื่อมตอ
Active Directory ประกอบดวยองคประกอบ
3. ตรวจสอบการทํางานของสวนที่มีผูใชมาทํางาน
สองสวนทํางานรวมกัน คือ
ขอดี
1. AD service: ทําหนาที่ใหบริการทั้งผูดูแลและ
1. ใชงานไดหลาย platform
ผูใชงานระบบ นอกจากนี้ใหบริการคนหาออบเจ็กต
2. สามารถตรวจสอบขอ มูลผูใชง านจากแหลงขอ มู ล
และทรั พ ยากรต า งๆ บนระบบเน็ ต เวิ ร ก โดย AD
อื่น เชน SQL, Kerberos, LDAP และ AD Server
service สนับสนุนทั้งโปรโตคอล DNS และ
3. มีการทํา authentication, authorization และ
LDAP
accounting
2. AD database: เปนฐานขอมูลที่จัดเก็บ Directory
ขอเสีย (ออบเจ็กต) ของระบบเน็ตเวิรก เชน จัดเก็บบัญ ชี
1. ตั้งคายาก รายชื่อผูใช กลุมผูใช รวมถึงรายชื่อและคุณสมบัติ
ของทรัพยากรตางๆ (คอมพิวเตอร เครื่องพิมพ แชร
Active Directory (AD)
โฟลเดอร เป น ต น )โดยออบเจ็ ก ต แ ละทรั พ ยากร
คื อ ระบบรายชื่ อ ที่ เ ก็ บ ข อ มู ล เพื่ อ ใช ใ นการ
ตางๆ จะถูกเก็บอยูที่ Active Directory Database
คนหาและจัดการทรัพยากร รวมทั้งจัดการเครื่อง client
ซึ่ ง จะช ว ยให ผู ใ ช ส ามารถค น หาและเรี ย กใช
ซึ่งมองทุกอยางเปนออบเจ็กตและแตละมีออบเจ็กตก็จะ
ทรัพยากรตางๆ ไดงายและรวดเร็วมากขึ้น
มีรายละเอียดที่แตกตางกันออกไป เชน Users, Printers,
Servers, Databases, Groups, Computers, และ ขอดี
Security Policies 1. สามารถทําการ search ไดงาย
AD ถือเปนเรื่องใหญสําหรับระบบปฏิบัติการ 2. ทําใหการทํางานมีความปลอดภัยมากขึ้น
4
3. สรุปการทํางานที่เหมาะสมของแตละระบบ ตาราง 1 ตารางเปรียบเทียบองคประกอบของความปลอดภัย
นอกจากความสามารถในการครอบคลุ ม
กิตติกรรมประกาศ
องคประกอบของความปลอดภัยของแตละเทคโนโลยี
authentication จะแตกตางกันแลว ความเหมาะสมที่จะ เอกสารฉบับนี้เปนสวนหนึ่งของวิชา Special
Problem I (Computer Security) 2110497
นํ า ไปใช ง านก็ แ ตกต า งกั น ตามไปด ว ย ทั้ ง นี้ ขึ้ น อยู กั บ
จุดประสงคของการนําไปใชงาน และสถาปตยกรรมของ ขอขอบคุณเพื่อนๆ ทุกคนที่รวมไมรวมมือรวม
แต ล ะระบบที่ จ ะนํ า ไปใช นอกจากนี้ ค วามสามารถ ใจกันทําเอกสารฉบับนี้ใหเสร็จลุลวงดวยดี และซื้อขนม
ปลีกยอยของแตละเทคโนโยลี authentication ที่ได มาใหทานในบางครั้ง
กล า วถึ ง โดยสั ง เขปข า งต น ก็ ทํ า ให ก ารนํ า ไปใช ง าน
ขอขอบคุณ Google และ Wikipedia สําหรับ
แตกตางกันออกไปอีกประการหนึ่ง
ขอมูลทุกอยาง เพราะหาอะไรก็เจอจริงๆ
ตัวอยางเชน OpenID เหมาะจะนําไปใชงาน
ขอขอบคุณอาคารจามจุรี 9 สําหรับบรรยากาศ
กับเว็บไซต ที่เปดใหบุคคลทั่วไปเขาใชงาน เพราะทุกคน
ดีๆ ที่เปดใหนิสิตไดทํางานรวมกั นยันเที่ยงคืนในชวง
สามารถสมัครรับ OpenID ได แตในขณะที่ OpenSSO,
ใกลสอบ
LDAP, AD และ RADIUS ไมเหมาะในบริบทนี้
เนื่องจากการรับบัญชีผูใชเปนไปในวงจํากัด จึงเหมาะกับ ขอบคุ ณ อาจารย สํ า หรั บ โอกาสในการทํ า
การใชงานภายในองคกรมากกวา เชน การทําเว็บไซต เอกสารฉบับนี้
สําหรับพนักงานภายในองคกร หรือ intranet
ทั้งนี้ สามารถสรุปความเหมาะสมของการนํา
1
เทคโนโลยี authentication ไปใชงาน โดยอิงตาม ตองทําการปรับแตงคาใหกับLDAP จึงจะมีคุณสมบัติ
Authorization
ประเภทของ application ไดดังตาราง 2 2
ตองทําการปรับแตงคาใหกับLDAP จึงจะมีคุณสมบัติ
Auditing
5
เอกสารอางอิง
[1] OpenID - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/OpenID
[2] OpenSSO - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/OpenSSO
[3] LDAP คืออะไร?
http://www.aoddy.com/project/openldap-project/what-
is-ldap/
[4] Lightweight Directory Access Protocol
http://202.28.94.55/web/322461/2550/report/g16/ldap.h
tml
[5] Lightweight Directory Access Protocol - Wikipedia,
the free encyclopedia
http://en.wikipedia.org/wiki/Lightweight_Directory_Ac
cess_Protocol
[6] Radius - Wikipedia, the free encyclopedia
en.wikipedia.org/wiki/RADIUS
[6] Active Directory Service (สวนที่ 1)
http://maps.swu.ac.th/index.php?option=com_content&
task=view&id=41&Itemid=68
[7] Active Directory
http://technet.microsoft.com/en-
us/library/bb742424.aspx
[8] Comparing Microsoft Active Directory to Novell's
NDS
http://msdn.microsoft.com/en-us/library/ms808915