Professional Documents
Culture Documents
Chapter 6 Access Control
Chapter 6 Access Control
1. กําหนดผูใชงานระบบวามีใครบาง
2. กําหนดคาทรัพยากรที่ตองการควบคุมการใชงานวามีอะไรบาง
3. กําหนดกระบวนการใชงานของผูใชงานระบบวามีอะไรบาง
4. กําหนดการใชงานของผูใชงานแตละคนวาผูใชงานแตละคนสามารถทํางานอะไรไดบา งและใชงาน
ทรัพยากรใดไดบาง
router(config)#interface fastethernet1
Identity
โปรแกรมหรือระบบตางๆ มักมีการทํางานโดยมีรายการของผูใชงานระบบซึ่งมักจะประกอบดวยรายละเอียด
ตางๆ ดังตอไปนี้
• Username / User ID
• Credential (Password, Certificate, และอื่น)
• Directory Attribute (Name , E-Mail , Phone , Address, และอื่นๆ)
• Organization
• Group
• Application Right
• Policy
Identity Management
• กําหนดความซับซอนของรหัสผาน
• กําหนดใหมีการจัดเก็บประวัติของรหัสผานเพื่อไมใหมกี ารตั้งรหัสผานซ้ํากับที่เคยใชงาน
• กําหนดกระบวนการ Logout
เมื่อผูใชงานเขาใชงานระบบจะมีการตรวจสอบตามนโยบายการรักษาความปลอดภัยดังกลาว ถา
รหัสผานหมดอายุระบบจะดําเนินการใหผใู ชงานเปลี่ยนรหัสผาน ซึ่งรหัสผานใหมทไี่ ดตั้งขึ้นนัน้ จะตองถูก
ตรวจสอบความซับซอนของรหัสผาน และประวัติของรหัสผาน หลังจากการเปลี่ยนรหัสผานเสร็จสมบูรณ จะมี
การ update ขอมูลประวัติของรหัสผาน สําหรับการใชงาน Directory ในการเก็บขอมูลรหัสผาน จะมีการกําหนด
นโยบายเกี่ยวกับรหัสผานไวใน Directory และนําไปใชสําหรับโปรแกรมตางๆ ดวยเพื่อความสะดวกในการ
บริหารจัดการ โดยนโยบายทีก่ ําหนดใน Directory นั้นจะขึ้นอยูกับบริษทั ผูผลิตโปรแกรม Directory Service
นั้นๆ
ยกตัวอยางเชน PingFederation ของ Ping Identity และ Federated Access Manager ของ Symlabs ซึ่ง
สนับสนุนตามมาตรฐาน SAML 1.1 และ 2.0 , WS-Federation สามารถทํางานทั้ง Identity Provider และ Service
Provider
นอกจากนี้ยงั มีผลิตภัณฑชื่อ Ping Trust ของ Ping Identity ที่มีการทํางานตาม WS-Trust เพื่อทํา
security token service
1. Shibboleth
2. OpenSAML
3. SourceID toolkits
4. Guanxi
5. OpenSSO
OpenSSO เปนผลิตภัณฑทพี่ ัฒนาโดยบริษัท Sun ที่มีการพัฒนาจาก Sun Java System Access Manager
และ Sun Java Federation Manager เพื่อเปนโครงสรางการทํางานที่ทําใหเกิด Federation Service สําหรับ
OpenSSO สามารถทํางานรวมกับ Shibboleth และ ADFS ได
สําหรับกรณีของระบบเครือขาย การควบคุมการเขาถึงระบบจะหมายถึงการคัดกรองขอมูลในเครือขาย
วาขอมูลใดจะสามารถผานเขาระบบได และขอมูลใดไมสามารถผานเขาออกระบบได อุปรณที่ใชในการคัด
กรองขอมูลดังกลาวคือ “Firewall”