TDE: Автоматическая аутентификация
При автоматической аутентификации подставляется именно тот Passphrase, который был указан при активации TDE. Таким образом, никаких запросов для ввода Passphrase для хранилища ключей нет. Режим автоматического запуска не влияет на скрипты, но он потенциально предоставляет доступ к изменению политик шифрования, а так же позволяет запускать базу данных и подключаться к ней в однопользовательском режиме, что в свою очередь предоставляет беспрепятственный доступ к зашифрованным данным, например при краже базы данных и хранилища ключей.
Как известно, автоматическая аутентификация активируется в момент включения шифрования базы данных с помощью команды PROUTIL ENABLEENCRYPTION, если был указан параметр <-Autostart>. Когда шифрование включается в первый раз, то в хранилище ключей сохраняется Admin Passphrase. В любое время можно изменить как Admin Passphrase, так и режим аутентификации с помощью команды PROUTIL EPOLICY MANAGE. Если изначально автоматическая аутентификация включена не была, т.е. не был параметр <–Autostart> использован, то включить ее можно, выполнив следующие шаги:
- Если во время включения шифрования в хранилище ключей не был определен User Passphrase,
то сейчас его определите с помощью команды PROUTIL EPOLICY MANAGE:
$ proutil bank -C epolicy manage keystore userphrase
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
This command modifies encryption access control in the Keystore file.
After successful completion of the command,
the Keystore file must be backed-up. (15518)
Enter new passphrase [required] :
Please Retype your Passphrase for Verification
Enter new passphrase [required] :
- Теперь измените настройку автозапуска, введя User Passphrase для хранилища ключей, как показано ниже:
$ proutil bank -C epolicy manage autostart enable
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Manage autostart enable has been selected. (15523)
This command modifies encryption access control in the Keystore file.
After successful completion of the command,
the Keystore file must be backed-up. (15518)
Enter new autostart passphrase [required] :
Please Retype your Passphrase for Verification
Enter new autostart passphrase [required] :
Как только автоматическая аутентификация активирована, необходимо исключить параметр <–Passphrase> из всех административных скриптов и программ для того, чтобы аутентификация пользователей выполнялась автоматически.
Для отключения автоматической аутентификации используется команда PROUTIL EPOLICY MANAGE:
$ proutil bank -C epolicy manage autostart disable -Passphrase
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
Please enter the Pass Phrase:
Manage autostart disable has been selected.
Manage autostart disable has been selected. (15523)
This command modifies encryption access control in the Keystore file.
After successful completion of the command,
the Keystore file must be backed-up. (15518)
Обратите внимание, что для отмены автоматической аутентификации пользователей к команде был добавлен параметр <–Passphrase>. Это обязательный параметр. Здесь необходимо ввести именно Admin Passphrase, поскольку у User Passphrase нет соответствующих полномочий. Это сделано для разграничения прав доступа администраторов. Например, администратор безопасности, отвечающий за настройку политик шифрования, знает Admin Passphrase, а администратор базы данных, отвечающий за ее запуск, знает только User Passphrase. Таким образом, процесс шифрования будет полностью контролироваться администратором безопасности. Дополнительную информацию по использованию Passphrase смотрите в разделе «Определение прав доступа к хранилищу ключей».
|