Рейтинг@Mail.ru
Конференция завершена. Ждём вас на HighLoad++ в Москве. Приём докладов уже начался!

JSS-service

Что такое JSS?

Jacky Security System (JSS) - это внешняя система централизованного защищённого доступа, построенная на базе OpenLDAP и MIT Kerberos. Она является мощным решением в сфере обеспечение безопасного и удобного доступа на любое количество Linux и BSD машин, а также запущенных на них веб-сервисов (административные приложения с веб-интерфейсом, корпоративные порталы и.т.д).

JSS это многофункциональный инструмент в руках администратора:

  • разграничение доступа; Политики OpenLDAP регламентируют доступ на уровне приложения. В зависимости от приложения, возможно использование как memberOf, так и member атрибутов.
  • система одного входа (SSO);Технология SSO позволит больше не вводить пароли. Достаточно один раз залогиниться в систему, чтобы получить доступ ко всем предусмотренным администраторам ресурсам. Для доступа в веб-среды предусмотрено использование SPNEGO.
  • интеграция с NFS;Интеграция с NFS позволит разработчикам и администраторам всегда иметь свои наработки под рукой. Домашняя директория «путешествует» в рамках локальной сети вместе с пользователем.
  • интеграция с MariaDB, MySQL, Percona Mysql, Nginx, Apache2, нативной системой пользователей Linux посредством SSSD; Различные имплементации баз данных MySQL имеют нативные методы работы с GSSAPI. Для Apache2 и Nginx реализуют GSSAPI/SPNEGO посредством внешних модулей.
  • интеграция с Grafana, Icinga2, Zabbix, Nagios
  • В общем случае функцию авторизации выполняет веб-сервер, проксируя имя пользователя приложению. Приложение производит аутентификацию на основе политик OpenLDAP.
  • персонализированная история из под root
  • Обычно при смене пользователя меняется и файл истории, куда записываются исполняемые команды. Это может приводить к ряду неудобств, когда из под root-пользователя работают различные люди. Для решения этой ситуации файл истории привязывается к пользователю независимо от его текущего уровня привилегий.

Отличительной чертой JSS является её отказоустойчивость. В случае выхода из строя железа или плановых работ, время переключения клиентов на другие центры JSS редко занимают более 1 секунды.

Благодаря выбранной архитектуре хранения учётных записей, серверные инстанции JSS масштабируются горизонтально до любых необходимых размеров. Это обеспечивает необходимую избыточность и пропускную способность.

Синхронизация центров авторизации происходит через механизмы OpenLDAP по линии с двойным шифрованием симметричным и асимметричным ключом, что позволяет размещать центры авторизации в разных частях мира, не беспокоясь за сохранность линии и возможные утечки данных. Использование симметричного шифрования позволяет не опасаться даже полного прослушивания линии третьей стороной, так как ключи шифрования в процессе работы никогда не передаются, а значит полностью застрахованы от перехвата.

Для кого оно нужно в первую очередь:

  • Дата-центры
  • Социальные сети
  • Крупные интернет-магазины
  • Дата-провайдеры, поисковики, медиа-провайдеры, а также любые BigData и Highload проекты, имеющие в своём распоряжении сложную инфраструктуру на базе Linux.
  • Телеком
  • Предприятия, использующее desktop версии Linux

  • Rambler's Top100