ОБЗОР
Shiva обеспечивает удаленный доступ в разнородных средах
Удивительная гибкость в работе, предельная простота использования, обширный набор функций - именно так можно охарактеризовать выпущенное корпорацией Shiva ПО, с которым она вышла на рынок серверов RADIUS.
Проведенная в Тестовом центре PC Week Labs экспертиза показала, что выпущенное ею ПО Shiva Access Manager (SAM) устанавливает новый стандарт для серверов RADIUS (Remote Authentication Dial-In User Service - служба аутентификации удаленных пользователей, подключающихся по коммутируемым каналам связи), работающих под управлением Windows NT. На рынке серверов аутентификации новый продукт серьезно подорвет позиции Unix; верность ей сохранят разве что самые ярые приверженцы командной строки.
SAM не просто поддерживает все основные протоколы аутентификации, включая TACACS+ и XTACACS, комплект способен работать с серверами сетевого и удаленного доступа практически всех производителей: Ascend Communications, Bay Networks, Cisco Systems и многих других. Нельзя не отметить, что функционирование SAM не зависит от типов баз данных и серверов защиты.
По гибкости и совместимости новый продукт превосходит любой другой сервер RADIUS на базе NT. Site Minder фирмы Netegrity, Easy RADIUS фирмы CryptoCard и Emerald фирмы Internet Engineering Association по этим параметрам явно ему проигрывают.
SAM позволяет не только просмотреть журнал учета, но и вывести на экран монитора список пользователей, роботающих в системе в настоящий момент, и основные статистические данные в графической форме. А в диалоговом окне Диспетчера-представителя мы нашли понятный и легко изменяемый список серверов-представителей, которые можно использовать для аутентификации удаленных пользователей
Чтобы сделать свой продукт еще более привлекательным для пользователя, корпорация Shiva снабдила его некоторыми функциями сервера-представителя. Они позволяют работать с пользовательскими базами данных на основе сетевых ОС фирмы Novell, включая Bindery и Службу каталога NetWare, а также с базами данных доменов Windows NT. Shiva еще не завершила работу над созданием вспомогательной программы импорта списка пользователей из LANRover, однако эта программа должна вот-вот появиться.
Пакет SAM поступил в продажу 13 января, лицензия на 500 пользователей стоит $4000.
Unix, трепещи!
Для обеспечения функций централизованного управления необычайно важной является возможность обращаться к уже имеющимся спискам пользователей.
Отсутствие такой функции - главный недостаток соперников SAM из среды Unix. При работе с ними администраторам приходится либо вести дополнительные списки пользователей, либо создавать специализированные средства взаимодействия с существующими базами данных.
С помощью SAM нам удалось без каких-либо трудностей провести конфигурирование восьми различных серверов-представителей, настроив их на последовательный поиск и аутентификацию удаленных пользователей. Если программа не могла найти того или иного пользователя в собственном списке, она обращалась за информацией к серверам-представителям, переходя с одного на другой в установленном нами порядке.
ПО SAM способно также выступать в качестве представителя для серверов защиты, в том числе производимых фирмами Security Dynamic Technologies и AssureNet Pathways, при этом оно поддерживает очень широкий спектр маркеров.
Настроенный определенным образом, SAM может осуществлять аутентификацию, проверку полномочий и учет ресурсов системы самостоятельно. К тому же при управлении удаленным доступом пакет способен взаимодействовать и с продуктами других производителей, что делает его намного более гибким.
ПРОВЕРКА НА ПРОЧНОСТЬ
Мы инсталлировали SAM на работавшей в среде Windows NT 4.0 системе корпорации Dell Computer с процессором Pentium Pro. В сети было также установлено ПО LANRover/E Plus (также корпорации Shiva), хотя тестируемый пакет способен работать и с любыми другими средствами удаленного доступа, поддерживающими серверы аутентификации.
При загрузке приложения требуется ввести код (так называемый “ключ лицензии” - “license key”), который Shiva генерирует на основе серийного номера продукта и IP-адреса хост-компьютера. IP-адрес сообщается покупателю после приобретения пакета. По нашему мнению, такая схема защиты от несанкционированного использования весьма удачна, поскольку избавляет администратора от выполнения многих лишних операций.
По умолчанию SAM инсталлируется как приложение. Мы, однако, согласны с рекомендациями производителя, который советует устанавливать пакет как службу среды Windows NT. В этом случае ПО автоматически устанавливается после перезапуска NT, что особенно важно при сбоях в работе системы.
Введя в список SAM данные о пользователях, мы загрузили NetManager корпорации Shiva. После этого несколькими щелчками мыши защита LANRover была настроена на аутентификацию с применением RADIUS, а не внутреннего списка пользователей.
Кроме того, мы решили вести учет вызовов не только во внутреннем журнале регистрации, но и на сервере RADIUS.
Первая попытка входа в систему закончилась неудачей - введенные имя и пароль были отвергнуты сервером. Специалисты Shiva внимательно изучили возникшую проблему и пришли к выводу, что она вызвана ошибкой во встроенном в LANRover ПО версии 4.5.1. После его замены на новейшую версию 4.5.2 все стало работать без сучка и задоринки. Мы получили возможность осуществлять контроль в реальном масштабе времени за тем, кто входит в систему, равно как и просматривать основную информацию по сеансу удаленного доступа.
SAM способен вести учет сетевых ресурсов на трех уровнях, которые могут удовлетворить все запросы пользователей различных сред. Стандартный уровень (Standard) полагается на внутреннюю базу данных, в отчетах отображаются лишь самые общие сведения - пользовательское имя, дата и время входа в систему, продолжительность сеанса и т. п. Такие записи можно сохранять ежедневно, еженедельно, ежемесячно или ежегодно. Углубленный (Enhanced) и полный (Comprehensive) уровни учета требуют применения внешних баз данных, совместимых со стандартом ODBC (Open DataBase Connectivity - интерфейс открытого взаимодействия с базами данных).
Каждый старший уровень отличается от предыдущего существенно большей детализацией учитываемых сведений. В их число могут входить телефонные номера адресата и адресанта, скорость работы в канале связи, протоколы подключения и сетевые протоколы. При необходимости выставления счетов за использование ресурсов следует задействовать полный уровень, учитывающий наибольшее количество параметров.
Эрик Питерсон
(PC Week Labs)
Итоговый бюллетень PC Week Labs
Shiva AccessManager
Shiva AccessManager должен привлечь внимание тех менеджеров, которые стремятся повысить защищенность разнородных сетей и развивающихся ГВС либо хотят снизить зависимость своих сетей от Unix. Этот продукт не просто выводит серверы RADIUS на новый уровень функциональности и простоты использования, он предоставляет администраторам более широкие возможности, предлагая им помимо прочего и поддержку богатого спектра маркеров.
А отлично, В хорошо
+ Высокая гибкость использования и простота в работе; способность функционировать практически в любой среде; широкие возможности учета ресурсов и обеспечения безопасности.
Отсутствие средств отказоустойчивости; окно отображения статистических данных не слишком удобно; в текущей версии не предусмотрен импорт списка пользователей из LANRover; бесплатная поддержка оказывается лишь в течение 30 суток; недостаточно подробная печатная документация.
Корпорация Shiva, Бедфорд, шт. Массачусетс, (617) 270-8300, http://www.shiva.com.
С методикой оценки параметров тестируемых продуктов, применяемой в PC Week Labs, можно ознакомиться на узле
http://www.pcweek.com/reviews/meth.html.
