امنیت در vSphere – بخش ششم

همانطور که می دانید تامین امنیت محیط های کاری یکی از الزاماتی است که در هر مجموعه ای می بایست بررسی و پیاده سازی شود. در این مقاله می خواهیم با روند امن سازی محیط vSphere و راهکارهای بهینه این فرآیند آشنا شویم. بخش ششم

فعالسازی ویژگی SSO

ویژگی SSO از نسخه 5.1 به بعد در بسته vSphere معرفی شد. این ویژگی به مانند یک گارد در ورودی یک مجموعه عمل میکند که با بررسی هویت شما یک نشان تردد در آن مجموعه برای شما صادر می کند و تا زمانیکه شما آن نشان را داشته باشید می توانید در آن مجموعه تردد کنید.

همانطور که گفته شد مدیریت SSO با بخش PSC می باشد و می توانید سرویس های مرکزی احراز هویت مانند اکتیودایرکتوری یا OpenLDAP را به آن معرفی کنید.

جهت آشنایی با SSO باید با اجزا آن آشنا شویم. زمانیکه SSO نصب می شود یک Domain برای آن راه اندازی و VMWare Directory Service آنرا تجهیز می کند. یک بخش Admin Server دارد که کار مدیریت حساب های کاربری در آن دامنه را انجام می دهد. حساب کاربری پیش فرض در این محیط Administrator می باشد. باید توجه داشته باشید که نباید نام دامنه SSO شما با نام دامنه اکتیو دایرکتوری یا OpenLDAP شما یکسان باشد. زمانیکه شما با حساب کاربری SSO وارد محیط vCenter می شوید سرویسی به نام IDM یا Identity Management Service کار ارتباط شما با منابع احراز هویت (Identity Sources) را انجام می دهد. پس از احراز هویت شما سرویس STS یا Security Token Service اقدام به صدور توکن برای شما می کند.

نکته: زمانیکه شما با حساب کاربری Administrator دامنه SSO خود وارد محیط vCenter می شوید سطح دسترسی بالاتری نسبت به حساب کاربری مدیریت vCenter خواهید داشت. یکی از این دسترسی ها نمایش منوی SSO در زمان ورود به vCenter با حساب کاربری Administrator تحت SSO می باشد و این حساب کاربری مجوز تعریف منابع احراز هویت به vCenter را دارد.

جهت اضافه کردن یک منبع احراز هویت ابتدا با حساب کاربری Administrator تحت SSO وارد محیط vCenter شوید و از بخش Administration بر روی گزینه Configuration در زیر مجموعه Single Sign-On کلیک کنید. از پنجره باز شده آیکون سبز رنگ + را انتخاب و اقدام به اضافه کردن منبع مدنظر خود کنید.

جهت ساخت حساب کاربری در محیط SSO داخلی سرویس vCenter ابتدا با حساب کاربری Administrator تحت SSO وارد محیط vCenter شوید و از بخش Administration بر روی گزینه Users and Groups در زیر مجموعه Single Sign-On کلیک کنید. از پنجره باز شده آیکون سبز رنگ + را انتخاب و اقدام به اضافه کردن حساب کاربری جدید کنید.

برای رمزعبور حساب های کاربری در محیط SSO قوانینی وجود دارد که در اینجا به آنها اشاره می کنیم:

• حداکثر عمر رمزعبور
• حداکثر تعداد رمزعبور های تکراری
• حداکثر طول رمزعبور
• حداقل طول رمزعبور
• پیچیدگی رمزعبور

برای حساب های کاربری در محیط SSO قوانین زیر وجود دارند:

• حداکثر تعداد ورودهای با خطا
• مدت زمان قفل بودن حساب کاربری بعد از ورود با خطا
• مدت زمان انتظار جهت ورود مجدد بعد از دریافت حداکثر خطا

برای توکن های ایجاد شده توسط SSO قوانین زیر وجود دارند:

• همسان بودن ساعت در سمت کاربر و دامین SSO
• حداکثر دفعات ایجاد مجدد توکن تا زمان ایجاد توکن جدید
• حداکثر تعداد راهکارهایی که برای توکن می توان استفاده کرد
• حداکثر عمر توکن تا زمان تولید مجدد
• حداکثر عمر توکن در استفاده از راهکارهای جانبی سرویس vCenter