Ident server - popis a vyuzitie.
Ident server vzdialene identifikuje pouzivatela, ktory sa z jedneho systemu
(nazvime ho klientom) pripaja na druhy system (nazvime ho serverom).
Server, ak na klientovom pocitaci bezi ident server, to moze vyuzit a zistit,
ktory z pouzivatelov na klientovi vyvolal ktore-to spojenie. Iny mod vyuzitia
ident servera spociva v tom, ze ten vrati zakodovany retazec, ktory je mozne
dodatocne rozkodovat spravcom servera z ktoreho sa pouzivatel pripajal, a
zistit o ktoreho pouzivatela islo (zo zakodovaneho retazca to nemusi byt
jasne). Takymto modom prace ident servera sa v tomto dokumente nebudeme
zaoberat, nakolko jeho vyuzitie v nasom pripade nema de facto zmysel.
Ident servery vznikli a casto byvaju pouzivane na systemoch typu UNIX,
kde byva(lo) bezne ze jeden pocitac vyuziva naraz niekolko pouzivatelov,
ale v sucasnosti byvaju ident servery vyuzivane aj na branach, za ktorymi
sa nachadza viac pouzivatelov, pricom vsetci pristupuju do internetu
s rovnakou adresou - adresou brany. Taktiez je mozne ident server vyuzit
na pocitacoch ktore vyuziva striedavo viac ludi na ich okamzitu identifikaciu.
Ident server umoznuje identifikovat iba vlastnikov existujucich spojeni a to
len medzi systemami medzi ktorymi tieto spojenia neexistuju. Ak sa klient
pripoji na server, iba ten server si moze toho klienta overit, a moze tak
urobit len pocas trvania dotycneho spojenia. Netreba sa preto obavat
ohrozenia sukromia pouzivatelov v suvislosti so sluzbou ident.
Ident NIE JE plnohodnotna autentizacia pouzivatela a nesmie byt za nu
pokladany. Jeho vyuzitie je len informacne, v prospech servera (pre ucel
rozlisenia pouzivatelov ako na IRC, logovanie za ucelom trasovania problemov)
alebo klienta (rozlisenie pouzivatelov v pripade nekalych aktivit).
Napriek tomu sa vsak zvykne v znacnej miere pouzivat
Na IRC je ident server vyuzivany pre zistenie pouzivatelskeho mena pouzivatela
ktory sa na IRC server pripoji. Takto je mozne jednoznacne identifikovat
kazdeho pouzivatela automaticky pri pripojeni sa, a na zaklade tejto
identifikacie je mozne regulovat ich pristup.
Vzhladom na to ze IRC z bezpecnostnych dovodov obmedzuje jednotlivym
pouzivatelom pocet pristupov na IRC, je ident vitana sluzba pre vsetky systemy
alebo brany ktore zvykne vyuzivat viac ludi - je mozne ochranovat IRC pred
pokusmi o pretazenie a zneuzivanie vytvorenim velkeho poctu spojeni bez toho,
aby bolo jednotlivym pouzivatelom branene v pripajani sa. Dalej, pretoze je
mozne pouzivatelov identifikovat, je mozne pristupovat k nim oddelene a v
pripade problemov je mozne odobrat jednotlivym pouzivatelom moznost pripojit sa
na IRC alebo IRC kanaly bez toho aby boli ovplyvneni ostatni pouzivatelia
systemu.
Ident server vracia na poziadanie meno pouzivatela ktory ma otvorene spojenie a
ohlasi sa tiez typom operacneho systemu na ktorom bezi. Typy systemov, s ktorymi
IRC servery pracuju, su UNIX a OTHER. Podla toho, aky typ systemu je vrateny (a
ci je vrateny) IRC server postupuje pri identifikacii pouzivatela na IRC.
Ident demon sa na IRC prejavi tym, aky znak ma pouzivatel pred informaciami
o sebe (userhost). Pouzivatel sa na IRC prihlasuje tym, ze uvedie svoje
pouzivatelske meno, pocitac z ktoreho je pripojeny, server na ktory je
pripojeny a svoje plne meno:
USER niekto pocitac.sk irc.server.sk :Ja som niekto!
IRC server si vsetky tieto informacie overi. Co sa tyka pouzivatelskeho mena (v
tomto pripade "niekto", IRC server postupuje nasledovne:
- Ak je ident serverom vratena identifikacia pouzivatela a operacny system
typu UNIX, na IRC je vidno pouzivatelske meno ktore vratil ident server.
- Ak je ident serverom vratena identifikacia pouzivatela a operacny system
typu OTHER, na IRC vidno meno ktore zadal pouzivatel pri pripojeni sa na
IRC server. IRC server pouzivatela vsak pouzije pri rozhodovani o pristupe
na IRC server meno vratene ident serverom a uchova ho.
- Ak ident server neexistuje, alebo vrati na poziadavku chybu, na IRC vidno
meno ktore zadal pouzivatel.
Pred pouzivatelske meno byva este na IRC pridany jednoznakovy prefix, vdaka
ktoremu je mozne zistit, ci je pouzivatelske meno vratene ident serverom alebo
zadane pouzivatelom, a teda, do akej miery je spolahlive pri urcovani
totoznosti pouzivatela. Popis pouzivatelskych
prefixov
.
Meno pouzivatela vratene IDENT serverom typu OTHER je mozne si zistit prikazom
/stats l pouzivatel. Server, na ktory je tento pouzivatel pripojeny,
vrati v odpovedi (okrem ineho) aj pouzivatelske meno vratene ident serverom.
Pre operacne systemy typu UNIX existuje niekolko ident serverov z roznymi
schopnostami. Vacsina z nich umoznuje fungovat v popisanom rezime. Niektore
dokazu kodovat alebo falsovat vratene pouzivatelske mena co nie je dobry napad.
Pre UNIXove systemy pripajajuce sa priamo na server (nie cez firewall alebo
proxy) existuje ident server
pidentd.
Existuju tiez autorovi stranky 2 zname ident servery, ktore dokazu
identifikovat pouzivatelov pripajajucich sa cez gatewaye (nie cez proxy
servery!):
midentd ktory vsak nie je mozne v sucasnosti nakonfigurovat tak, aby
splnal poziadavky kladene IRC servermi a teda jeho pouzivanie je
neodporucane
a oidentd. Tento treba pre spravne
pouzitie nakonfigurovat do maskaradoveho rezimu, aby vracal pouzivatelske
"meno" podla toho, z ktoreho pocitaca prichadza spojenie ktore si chce server
overit. V takomto pripade bude kazdy pocitac vystupovat ako jeden pouzivatel co
je ziadane vyuzitie ident servera. Bohuzial pracuje len na OS linux, FreeBSD
a OpenBSD. Ostatne operacne systemy zatial podporovane nie su.
Existuju aj ident servery pre operacne systemy
Windows NT a
Windows 95/98.
Maxmialna dlzka ident odpovede smie byt 9 znakov. Dlhsie nebudu akceptovane, mozu sposobovat problemy a budu eliminovane.
v identifikacnom retazci sa smu vyskytovat pismena ASCII tabulky, cislice a
niektore specialne znaky (. - _), specialne znaky sa nesmu vyskytovat
bezprostredne za sebou.
Varovanie!
V pripade ze ident demon bude vracat nepravdive informacie:
- pre toho isteho pouzivatela rozne identifikacie (napriklad nahodne)
- pouzivatelom nastavit si odpoved (konfiguraciou ident sluzby alebo forwardovanim poziadaviek na stanicu pouzivatela)
bude pristup z dotycnej adresy ZAKAZANY a je len mala sanca ze bude znovu povoleny! IRC siet sa musi branit falosnej identifikacii - tato je
brana ako ziadna pripadne este horsie. Preto konfigurujte identd opatrne.
V pripade ak budu mat pouzivatelia moznost zakazat si identifikovanie, riskuju zakaz pristupu na vsetkych pouzivatelov bez identifikacie.