Конференция завершена. Ждем вас на HighLoad++ в следующий раз!

JSS

Что такое JSS?

Jacky Security System (JSS) - это внешняя система централизованного защищённого доступа, построенная на базе OpenLDAP и MIT Kerberos. Она является мощным решением в сфере обеспечение безопасного и удобного доступа на любое количество Linux и BSD машин, а также запущенных на них веб-сервисов (административные приложения с веб-интерфейсом, корпоративные порталы и.т.д).

JSS это многофункциональный инструмент в руках администратора:

  • разграничение доступа; Политики OpenLDAP регламентируют доступ на уровне приложения. В зависимости от приложения, возможно использование как memberOf, так и member атрибутов.
  • система одного входа (SSO);Технология SSO позволит больше не вводить пароли. Достаточно один раз залогиниться в систему, чтобы получить доступ ко всем предусмотренным администраторам ресурсам. Для доступа в веб-среды предусмотрено использование SPNEGO.
  • интеграция с NFS;Интеграция с NFS позволит разработчикам и администраторам всегда иметь свои наработки под рукой. Домашняя директория «путешествует» в рамках локальной сети вместе с пользователем.
  • интеграция с MariaDB, MySQL, Percona Mysql, Nginx, Apache2, нативной системой пользователей Linux посредством SSSD; Различные имплементации баз данных MySQL имеют нативные методы работы с GSSAPI. Для Apache2 и Nginx реализуют GSSAPI/SPNEGO посредством внешних модулей.
  • интеграция с Grafana, Icinga2, Zabbix, Nagios
  • В общем случае функцию авторизации выполняет веб-сервер, проксируя имя пользователя приложению. Приложение производит аутентификацию на основе политик OpenLDAP.
  • персонализированная история из под root
  • Обычно при смене пользователя меняется и файл истории, куда записываются исполняемые команды. Это может приводить к ряду неудобств, когда из под root-пользователя работают различные люди. Для решения этой ситуации файл истории привязывается к пользователю независимо от его текущего уровня привилегий.

Отличительной чертой JSS является её отказоустойчивость. В случае выхода из строя железа или плановых работ, время переключения клиентов на другие центры JSS редко занимают более 1 секунды.

Благодаря выбранной архитектуре хранения учётных записей, серверные инстанции JSS масштабируются горизонтально до любых необходимых размеров. Это обеспечивает необходимую избыточность и пропускную способность.

Синхронизация центров авторизации происходит через механизмы OpenLDAP по линии с двойным шифрованием симметричным и асимметричным ключом, что позволяет размещать центры авторизации в разных частях мира, не беспокоясь за сохранность линии и возможные утечки данных. Использование симметричного шифрования позволяет не опасаться даже полного прослушивания линии третьей стороной, так как ключи шифрования в процессе работы никогда не передаются, а значит полностью застрахованы от перехвата.

Для кого оно нужно в первую очередь:

  • Дата-центры
  • Социальные сети
  • Крупные интернет-магазины
  • Дата-провайдеры, поисковики, медиа-провайдеры, а также любые BigData и Highload проекты, имеющие в своём распоряжении сложную инфраструктуру на базе Linux.
  • Телеком
  • Предприятия, использующее desktop версии Linux

    Активность

    Организация централизованного безопасного доступа к Linux-системам
    Одним из самых наболевших вопросов обеспечения безопасности IT-инфраструктуры является дилемма "security VS usability". Нашим экспертам удалось решить эту дилемму в рамках обеспечения доступа к инфраструктуре за счёт централизованной системы авторизации и аутентификации пользователей. В рамках митапа мы рассмотрим следующие темы: - Идеальная система доступа: какой она должна быть? - Применения MIT Kerberos и OpenLDAP в рамках Linux-инфраструктур - Гетерогенные системы и проблемы создания гетерогенных доменов - Jacky Security System (JSS) как готовое решения кластеризации MIT Kerberos с возможностью интеграции различных сервисов.
    Системы прав доступа
    Отказоустойчивость
    Devops / другое
    Другое
    Организация безопасного доступа к Linux-инфраструктурам на практике
    Мы рассмотрим кейсы и архитектурные решения на базе MIT Kerberos и OpenLDAP. Поговори о особенностях интеграции системы безопасности с системами мониторинга, базами данных, веб-интерфейсами и другими инстанциями и организация SSO доступа. По вашим просьбам разберём примеры использования в конкретных ситуациях.
    Системы прав доступа
    Отказоустойчивость
    Devops / другое
    Другое
  • Rambler's Top100