NTTACPLUSچيست؟
Nttacplus نرمافزار متمركزي است كه روي سرويسدهنده نصب شده و دسترسيهاي شبكهاي راه دور را كنترل و مديريت مينمايد. اين نرمافزار براي مديريت و كنترل شبكه از پروتكل هاي مديريتي+tacacs كه توسط شركت cisco بوجود آمده وradius از شركت liringston استفاده نموده و مدل AAA را براي مديريت شبكه بخوبي پياده سازي ميكند. حروف AAA در اين مدل به ترتيب مخفف عبارات زير هستند:
- Authentication: كه به معني تصديق و تشخيص كاربر است و معمولا" با پرسش نام كاربر و كلمه عبور آن انجام ميشود.
- Authorization : كه به معني مجوز دسترسي كاربر است معين ميكند كه هر كاربر چه كارهايي ميتواند انجام دهد و از چه منابعي در شبكه ميتواند استفاده كند.
- Accounting : فرآيندي است كه توسط آن تمام فعاليتهايي كه كاربر روي سيستم داشته و از آن بهرهمند شده را ثبت مي نمايد.
Centralized Access Management
نرم افزار NTTACPLUS را ميتوان بصورت يك برنامه مستقل و يا يك سرويس از سرويس هاي ويندوزNTاجرا نمود. اين نرمافزار بانك اطلاعاتي كاربران خود را يا بهصورت يكسري فايل متني ساده نگهداري مينمايد يا درون جداول بانكهاي اطلاعاتي مثل اكسس يا SQL SERVER قرار ميدهد در اين نرمافزار اطلاعات مربوط به كاربران عموما" در دو جدول مختلف قرار ميگيرند:
الف :جدول براي حساب كاربران
ب :جدول براي نگهداري مشخصات كاربران ميباشد و مواردي مانند ساعاتي كه مجاز به استفاده از سيستم و يا تاريخ انقضاي عضويت كاربر و ساير مواردي از اين قبيل نگهداري ميشود.
سرويسدهندههاي شبكه(1)(NAS) كه گاهي اوقات با نامهاي ديگري از قبيل سرويسدهندههاي ارتباطي (2), سرويسدهندههاي راه دور ميتوانند از طريق خطوط تلفن يا ISDN به شبكههاي محلي يا اينترنت متصل شوند. هنگاميكه كاربري باNAS درخواست برقراري ارتباط نمود اولين چيزي كه از كاربر پرسيده ميشود مشخصات كاربري وي است. پس از اين كه اين مشخصات توسط كاربر به NAS ارسال شد, سرويسدهنده NAS اين اطلاعات را بهNTTACPLUS ارسال ميدارد و از NTTACPLUSميخواهد كه عمل تصديق كاربر و تشخيص هويت وي را انجام دهد.
NTTACPLUSE نيز ابتدا در بانك اطلاعاتي خود جستجو ميكند در صورتيكه تشخيص هويت كاربر با موفقيت انجام شود NTTACPLUS يك ركورد در بانك اطلاعاتي خود در جدول حساب كاربران خود براي اين كاربر ثبت ميكند و به NAS پاسخ ميدهد كه اين كاربر حق برقراري ارتباط با شبكه را دارد. علاوه بر درخواست فوق, NTTACPLUS به پرسشهاي ديگر سرويسدهنده NAS كه در خصوص مجوزهاي دسترسي كاربر به منابع شبكه است نيز قادر است پاسخ دهد.
ويژگيهاي اصلي NTTACPLUS
1. كارآيي بالا و استفاده از منابع در كمترين حد ممكن.
نرم افزار NTTACPLUS بوسيله برنامه سازي C++نوشته شده است تا كارآيي سيستم را در بهينهترين حد ممكن در استفاده از منابع سيستم و حافظه فراهم آورد. اين نرم افزار قادر است چندين عمل تصديق كاربري را در آن واحد انجام دهد بدون اينكه نياز به اتلاف زمان CPU بيش از حد ممكن داشته باشد. از ديگر محاسن آن كه باعث افزايش كارايي سيستم ميگردد ميتوان به مواردي اشاره كرد مثل: نصب سريع و آسان بدليل اينكه از توابع كتابخانه اي اضافي براي نصب استفاده نمي كند و فقط DLL هاي در حال اجراي سيستم عامل را براي نصب فراخواني مي نمايد اندازه فايل اجرايي آن كم است به همين دليل فضاي زيادي را از حافظه اشغال نميكند. كليه اجزاي آن در يك دايركتوري قرار دارند و DLL هاي آن درون دايركتوري هاي مختلف پخش نشده اند.
نرم افزار NTTACPLUS براي نگهداري اطلاعات مربوط به پيكربندي خود از بانك اطلاعاتي رجيستري ويندوز استفاده نمي كند. زيرا دسترسي به آن هم از لحاظ سيستم كند است هم از لحاظ كاربر مشكل استلذا كليه اطلاعات پيكر بندي سيستم درون فايل متني ساده قرار دارد كه آن هم در دايركتوري NTTACPLUS واقع شده است.
2. پشتيباني كامل از روشهاي تصديق كاربري ، مجوزهاي استفاده و حسابرسي.
NTTACPLUS درخواستي را كه در پروتكل هاي استانداردRADIUS وTACACS+براي تصديق كاربري، مجوز استفاده از منابع و حسابرسي تعريف شده است را به طور كامل پشتيباني ميكند . انعطاف پذيري اين نرم افزار تا اندازه اي است كه الحاقات جديد و تعاريف اختصاصي هر دو پروتكل را براي روش هاي اخذ مجوز دسترسي به منابع را نيز پشتيباني ميكند.
3. مديريت آسان بانك اطلاعاتي كاربران بوسيله دسترسي از راه دور.
در صورتيكه اطلاعات كاربران در فايلهاي متني ساده ذخيره شده باشند ، براحتي توسط يك نرم افزار معمولي ويراستار متنمثلNotpade.exeقابل تغيير و اصلاح مي باشند و اگر اين اطلاعات درون بانك اطلاعاتي ذخيره شده باشند ميتوان آنها را بوسيله Query ساده تغيير داده ، ويراست نمود. توسط كنسول NTTACPLUS ميتوان براحتي هم سرويس دهنده NTTACPLUS هم بانك اطلاعاتي حساب كاربران را از راه دور مديريت نمود .اين برنامه(كنسول) NTTACPLUS تا حد ممكن كم حجم و قابل اجرا روي سيستم هاي ويندوز X 9 ،2000 ،NT است كه از پروتكل شبكه اي TCP/IP استفاده ميكنند .كنسول راه دور NTTACPLUS تغييرات مربوط به مشخصات كاربران را بلافاصله درون بانك اطلاعاتي كاربران اعمال مي نمايد. اطلاعات رد و بدل شده بين كنسول راه دور و سرويس دهنده NTTACPLUS بصورت رمز شده نقل و انتقال مي يابند.
4. گروهها و توارث بين آنها
NTTACPLUSقادر است علاوه بر تعريف مشخصات كاربري ،مشخصات گروهي نيز تعريف نمايد و به اين وسيله خصوصيات يكساني را به عده اي از كاربران نسبت دهد. با استفاده از مشخصات گروهي هر گاه كاربري را جزء گروهي خاص تعريف كنيم تمام صفاتي كه براي آن گروه تعريف شده اند به صورت وراثتي به آن كاربر نيز به ارث مي رسد.
هر گروه خود ميتواند از گروه ديگري مشتق شده باشد و تمام صفات گروه پايه را به ارث ببرد. با استفاده از توارث بين گروهها و كاربران مي توان ساختار مديريتي سلسله مراتبي براي گروههاي كاربري ايجاد نمود كه بدون اتلاف وقت و در حداقل زمان ممكن صفتي را به عده اي از گروهها يا كاربران نسبت داده و يا از آنها سلب نمود.
5. بررسي بلادرنگ(5) فعاليتها حتي بشكل دسترسي از راه دور.
سيستم عامل ويندوز قادر است در هر لحظه كاربران مرتبط با شبكه و مدت استفاده آنها از شبكه ارائه دهد. همچنين اين سيستم عامل قادر است تشخيص دهد كه هر كاربر به كدام NAS مرتبط شده است .با بهره گيري از اين امكان ويندوز، نرم افزار NTTACPLUS تمام اتصالهاي فعال را مي تواند تشخيص داده و بررسي كند .علاوه بر اين NTTACPLUS قادر است تمام درخواستهاي تصديق كاربري ، مجوزهاي دسترسي ، حسابرسي و همچنين جلسات كاري مديريتي راه دور(6)را بصورت بلادرنگ ثبت نمايد. علاوه بر ثبت متدهاي درخواست اتصال به شبكه، NTTACPLUS قادر است كليه وقايعي كه مربوط به قطع شدن ارتباط كاربر از NAS مي باشد را نيز ثبت نمايد. خواه قطع ارتباط از جانب خود NTTACPLUS باشد(مثل پروتكل RSHELL كه درون آن پياده سازي شده)يا از جانب برنامه اي ديگر باشد (مثلSNMPSET يا TELNE). برنامه كنسول NTTACPLUS قادر است كپي پنجره هايي را كه كاربران فعال را نشان ميدهد به كامپيوتر راه دوري كه سيستم عامل ويندوز دارد ارسال نمايد.
6. سرويس دهنده كمكي
ميتوان در آن واحد علاوه بر سرويس دهنده اصلي NTTACPLUS يك نسخه ديگر از آن بعنوان سرويس دهنده پشتيبان روي كامپيوتر ديگر نصب نمود .در اينصورت اطلاعات مربوط به بانك اطلاعاتي كاربران هر از چندي بر اساس جدول زمان بندي از پيش تعيين شده اي از سرويس دهنده اصلي در سرويس دهنده كمكي بتواند NAS را مديريت نموده امكان ادامه ارتباطات را مسير سازد همواره اطلاعات بين سرويس دهنده اصلي و كمكي بصورت رمزشده و با استفاده از پروتكل TCP انتقال مي يابند.
7.كنترل دستي اضافه.
NTTACPLUS پارامترهاي متعددي براي دسترسي كاربران دارد كه همگي اين پارامترها قابل تغيير و تنظيم هستند . از جمله اين پارامترها مي توان به موارد زير اشاره كرد:
الف. زمان منقضي شدن حساب كاربر.
ب. جدول زماني براي ارتباط كاربر (چه مواقعي مي تواند با شبكه ارتباط برقراركند).
ج. آدرس NAS و همچنين شماره پورت NAS .
د. تعداد كسانيكه همزمان با يك حساب مي توانند به شبكه وصل شوند.
ه. مدت زمانيكه از اعتبار حساب كاربر باقي است (براي سرويس هاي زماني).
و. حجم اطلاعاتي كه از اعتبار حساب كاربر باقي است(براي سرويس هاي حجمي).
ي. حداكثر زماني كه هر كاربر در هر بار وصل شدن به شبكه مي تواند از آن استفاده كند.
ن. سطح دسترسي كاربر (كه از كاربر معمولي شروع شده و به حق دسترسي سطح مدير شبكه ختم مي شود).
8. امكانات اضافي هنگام بروز حالات مشكوك.
NTTACPLUS قادر است كليه حالتهايي را كه هنگام كار با شبكه با شكست مواجه مي شوند تشخيص داده اقدامي مناسب ، متناسب با وضعيت مذكور انجام دهد . مثلا" در صورتيكه نام و كلمه عبور اشتباه وارد شود يا حق دسترسي به منبعي را نداشته باشيم ولي براي استفاده از آن كوشش كنيم ميتواند اقدامي مناسب انجام دهد مثلا" مي تواند به مدير شبكه يك پيغام هشدار ارسال نمايد يا اينكه به شخصي كه فعل غير مجازي انجام مي دهد پيام هشداري ارسال دارد. و يا حتي در شبكه هايي كه امنيت در آنها اهميت بسزايي دارد ميتوان تعريف كرد كه با هر حركت غير مجازي حساب كاربر را غير فعال كرد و يا ارتباط وي را با شبكه قطع نمود.
علاوه بر وضعيتهاي فوق ميتوان پيامهاي هشداري نيز صرفا" جهت اطلاع كاربر توليد كرد كه فرضا" حساب وي رو به اتمام است.
9. امكانات اضافي براي حساب كاربران .
با ايجاد هر جلسه كاري NTTACPLUS اطلاعات با ارزشي از قبيل مدت زمان برقرار بودن جلسه كاري و يا حجم اطلاعات مبادله شده را ذخيره ميكند. اين اطلاعات به صورت بلادرنگ درون بانك اطلاعاتي مربوط به حساب كاربران در مورد كاربر مربوطه ذخيره مي شود و هر كاربر مي تواند در هر لحظه ميزان اعتبار باقي مانده از حساب خود را بداند.
10. قابليت استفاده از بانك اطلاعاتي كاربران سيستم عامل ويندوز NT ،يونيكس و يا سرويس دهنده TACACS+ ديگر.
NTTACPLUS قادر است درخواستهاي تصديق كاربري را كه برايش از NAS ارسال مي شوند از بانك اطلاعاتي موجود روي سيستم عاملهاي ويندوز NT و يا UNIX بپرسد . در اينصورت در خواست تصديق كاربري كه به سمت NTTACPLUS ارسال ميشود از سيستم عامل ويندوز NT يا سيستم عامل UNIX پرسيده ميشود.سپس جواب مقتضي را به NTTACPLUS ارسال مي دارد . علاوه بر حالات فوق NTTACPLUS قادر است درخواستهاي تصديق كاربري را به سمت سرويس دهنده اي ديگر از نوعTACACS+ ارسال دارد و به بانك اطلاعاتي كاربران آن سرويس دهنده براي تصديق كاربري مراجعه كند.
11. همزمان سازي خودكار با سيستم هاي NAS سيسكو.
NTTACPLUS قادر است ليست كاربران فعال موجود خود را با ليست موجود در NAS سيسكو مطابقت دهد. با اين كار از بروز هر گونه اشكال جلوگيري مي شود زيرا برخي اوقات بدليل راه اندازي مجدد NTTACPLUSيا از بين رفتن پكتهاي كنترلي كه از NAS به سمت NTTACPLUS مي آيند ليست كاربران فعال موجود غير صحيح مي شود مثلا" در صورتيكه اطلاعات مربوط به قطع ارتباط كاربري خاص به NTTACPLUS ليست كاربران فعال موجود در NAS سيسكو را يافته ،ليست خود را به روز رساني ميكند.
12. معماري بازNTTACPLUS
NTTACPLUS بدليل استفاده استاندارد ODBC (7) امكان ارتباط با هر DBMS را كه از استاندارد ODBC پشتيباني به عمل مي آورد را دارا مي باشد. لذا بدون نياز به تغيير و ارتقاء نگارش ميتوان موتور بانك اطلاعاتي را تغيير داد. علاوه بر مطلب فوقNTTACPLUS مدير شبكه را قادر مي سازد كه با استفاده از زبانهاي دستوري براحتي تعاريف جديدي براي افزايش امكانات و قابليتهاي تصديق كاربري براي سيستم تعريف كند.
13. امكان طراحي رابط كاربر تحت وب :
NTTACPLUS قادر است كه براحتي انواع گزارشهاي كاربري را بوسيله برنامه هاي مخصوص سرويس دهنده هل مثل :ASP و cold fusion ويا … ايجاد كند. اين گزارشها توسط مدير شبكه يا مدير وب توليد مي شوند وتوسط كاربرها و حتي مدير شبكه مورد استفاده قرار ميگيرند .