Европейскую Систему Безопасности Приложений в Смешанных Программных Средах (SESAME), в общем-то, трудно назвать протоколом — это скорее модель или архитектура безопасности. Однако это название иногда упоминается рядом с Kerberos, мы решили рассмотреть его и будем называть схемой. Так как SESAME получил широкое распространение в основном только в Западной Европе, коснемся его только в общем виде.
Схема SESAME была предназначена для обеспечения безопасности при работе в незащищенной сети, например, таких известных своими уязвимостями приложений, как Telnet, RLogin, RSh, RCP и RFC, и ставила своими целями обеспечение следующих задач:
- Аутентификация (односторонняя или взаимная) с помощью Kerberos или механизмов шифрования с открытым ключом.
- Обеспечение защиты данных при передаче.
- Создание ролевой модели доступа (англ. Role-based access control — RBAC).
- Делегирование прав.
- Служба аудита.
- Мультидоменная поддержка.
Рассмотрим основные составляющие схемы (рис. 22.21).
ПП — посредник (покровитель) пользователя (анг. User Sponsor) — предоставляет пользователю интерфейс к системе SESAME, предлагая пользователю функциональность для входа в систему (logon).
АПА — атрибут привилегий аутентификации (англ. Authentication Privilege Attribute) — используется ПП при связи с сервером безопасности домена.
СА — сервер аутентификации (англ. Authentication Server) — аналогичен схеме протокола Kerberos, обеспечивает единый вход в сеть (single sign-on).