Beveiligings- en toegangsbeheer. Veiliger van opzet.

Mac OS X Server is gebaseerd op een geavanceerde architectuur die als doel heeft de gewenste voorzieningen te leveren met het vereiste beveiligingsniveau. Het besturingssysteem bevat diverse voorzieningen die zorgen voor de beveiliging van uw server, uw netwerk en uw gegevens. Enkele voorbeelden zijn een ingebouwde firewall met "stateful" pakketanalyse, krachtige versleutelings- en identiteitscontrolevoorzieningen, gegevensbeveiligingsarchitecturen en ondersteuning voor toegangscontrolelijsten (ACL's).

Beveiligingsstandaarden.

Beveiligingsexperts overal ter wereld zijn het erover eens dat beveiligingsprotocollen die voldoen aan de in de industrie gelden normen afdoende ondersteuning bieden voor alle aspecten van systeem-, gegevens- en netwerkbeveiliging die worden gesteld aan moderne computertoepassingen.

Kerberos
  • Kerberos voor enkelvoudige identiteitscontrole De Kerberos-technologie van MIT is standaard geïntegreerd in Mac OS X Server om "single sign-on" mogelijk te maken in zowel Apple Open Directory- als Microsoft Active Directory-omgevingen.
  • SSH (Secure Shell) OpenSSH is het standaardprotocol van Mac OS X Server voor het veilig configureren en beheren van externe servers. SSH versleutelt externe opdrachtregelcommando's, inclusief wachtwoorden, om te voorkomen dat gegevens worden onderschept, verbindingen worden overgenomen en andere aanvallen via rlogin- en telnet-verbindingen op netwerkniveau mogelijk zijn. Mac OS X Server ondersteunt de volledige OpenSSH-client- en serverfunctionaliteit, waaronder SSH voor commando-uitvoering, SFTP voor bestandsoverdracht en SCP voor bestandskopieën.
  • SSL/TLS Mac OS X Server biedt ondersteuning voor SSL (Secure Sockets Layer), het meestgebruikte transportmechanisme, en voor TLS (Transport Layer Security), de nieuwste beveiligingsstandaard voor het internet. De basisvoorzieningen van het serverbesturingssysteem en diverse netwerkvoorzieningen, zoals Apache, OpenLDAP, Postfix en Cyrus, gebruiken deze transportlaagmechanismen om een veilige verbinding met 128-bits codering tot stand te brengen tussen twee systemen en de gegevens die via deze verbinding worden verstuurd te beveiligen tegen onderschepping. Beveiligde communicatie met identiteitscontrole wordt in Mac OS X Server gegarandeerd door het gebruik van X.509 digitale certificaten die de identiteit van een server op het internet of in een LAN controleren.
  • CDSA (Common Data Security Architecture) Mac OS X Server maakt ook gebruik van CDSA, een open standaard van The Open Group. CDSA bestaat uit een gelaagde set beveiligingsvoorzieningen en een cryptografisch framework voor het veilig uitvoeren van programma's, inclusief ondersteuning voor SSL versies 2 en 3 en TLS versie 1. De CDSA-architectuur van Apple omvat daarnaast OpenSSL, een beveiligingsbibliotheek voor gebruik door oudere Open Source-programma's, evenals de PAM's (Pluggable Authentication Modules) voor Linux, die UNIX-programma's in staat stellen CDSA-voorzieningen aan te roepen via een PAM-API.

Toegangscontrolelijsten (ACL's)

Mac OS X Server biedt ondersteuning voor de native bestandsbevoegdheden van Mac OS X en Windows. Toegangscontrolelijsten of ACL's geven beheerders uiterst nauwkeurige controle over serverinstellingen en bevoegdheden, waardoor programma's en gegevens optimaal kunnen worden beschermd tegen ongeoorloofd gebruik en ongeoorloofde wijzigingen.

Toegang tot het bestandssysteem

Mac OS X Server ondersteunt zowel traditionele UNIX-bestandsbevoegdheden als ACL's, zodat beheerders tot op detailniveau controle hebben over bestands- en mapbevoegdheden. De meeste UNIX- en Linux-besturingssystemen worden beperkt door het UNIX-model van bestandsbevoegdheden, ook wel POSIX (Standard Portable Operating System Interface) genoemd. In dit model kan er één bevoegdheid worden toegewezen aan de eigenaar van het bestand, één aan een groep en één aan iedereen in het netwerk. Het is dus niet mogelijk bevoegdheden toe te wijzen aan verschillende gebruikers en groepen, en een groep kan ook geen eigenaar zijn van een bestand of map.

Het traditionele UNIX-model biedt evenmin ondersteuning voor andere belangrijke voorzieningen voor bestandstoegang. Zo worden er maar drie bevoegdheden ondersteund (lezen, schrijven en uitvoeren) en kunnen bevoegdheden niet worden overgenomen. Dit betekent dat nieuwe of gekopieerde bestanden niet automatisch de bevoegdheid krijgen die is toegewezen aan de bovenliggende map.

Om meer flexibiliteit te bieden in complexe computeromgevingen, heeft Apple ondersteuning voor ACL's toegevoegd in Mac OS X Server. ACL's voor het bestandssysteem maken het namelijk mogelijk om aan elk bestandsobject verschillende gebruikers en groepen toe te wijzen, inclusief geneste groepen. Bovendien kan voor elk bestandsobject toegang worden verleend of geweigerd en is het mogelijk gedetailleerde bevoegdhedensets toe te kennen voor beheer-, lees-, schrijf- en verwijderbewerkingen. Daarnaast ondersteunt Mac OS X Server de overname van bestandsbevoegdheden, zodat de bevoegdheden worden overgenomen wanneer je bestanden naar de server verplaatst of op de server kopieert.

Toegang tot voorzieningen

Met behulp van toegangscontrolelijsten voor voorzieningen (service access control lists of SACL's) kunnen beheerders heel gemakkelijk opgeven welke gebruikers en groepen toegang hebben tot de verschillende voorzieningen. Zo kan een beheerder de bestandsserver van een werkgroep die is gekoppeld aan een enorme, centraal opgeslagen adreslijst zo configureren dat alleen verbindingen worden geaccepteerd van gebruikers in die werkgroep. Deze functionaliteit wordt steeds belangrijker omdat steeds meer sites gebruikmaken van een centraal opgeslagen adreslijstsysteem. SACL's worden ondersteund door alle gebruikersvoorzieningen van Mac OS X Server, waaronder AFP, SMB/CIFS, FTP, Web, Mail, SSH, iCal Server, iChat Server en VPN.

firewall

Firewall

Firewall-software is verantwoordelijk voor de beveiliging van netwerkprogramma's die worden uitgevoerd onder Mac OS X Server. De firewall in Mac OS X Server maakt gebruik van de betrouwbare, Open Source IPFW-software van FreeBSD. Binnenkomende IP-pakketten worden gecontroleerd en op basis van ingestelde filters geweigerd of toegelaten. Je kunt de toegang tot elke willekeurige IP-voorziening op je server beperken en aparte filters instellen voor alle binnenkomende clients of alleen voor een reeks client-IP-adressen. Om spoofing van IP-adressen te voorkomen, ondersteunt de firewall-software "stateful" pakketcontrole. Dit houdt in dat de software controleert of een binnenkomend pakket een geldige reactie is op een uitstaand verzoek of deel uitmaakt van een actieve sessie.