УДК 004.42 Архитектура единой службы аутентификации, авторизации и учета пользователей информационных ресурсов университета Рыбальченко М.А., студент Россия, 105005, г. Москва, МГТУ им. Н.Э. Баумана Научный руководитель: Остриков C.П., начальник Управление информатизации - ВЦ Россия, 105005, г. Москва, МГТУ им. Н.Э. Баумана [email protected] ВВЕДЕНИЕ Рост количества информационных систем, используемых в деятельности МГТУ им. Н.Э. Баумана, делает актуальным вопрос внедрения единой службы аутентификации, авторизации и учета пользователей информационных ресурсов Университета. Проблемы связанные с наличием обособленных механизмов аутентификации на уровне отдельных приложений были подробно описаны в статье “Разработка единой системы управления пользователями в корпоративных приложениях Университета” (Рыбальченко М.А., Остриков С.П., электронный журнал «Молодежный научнотехнический вестник» # 04, апрель 2013). В статье, также, была предложена реализация системы единого каталога пользователей Университета синхронизированного с кадровой информационной системой. (Кадровый справочник МГТУ им. Баумана в виде LDAPструктуры). В данной статье обсуждается вариант архитектуры единой службы аутентификации, авторизации и учета пользователей информационных ресурсов, интегрированной со службой единого каталога пользователей Университета. По мнению авторов, внедрение данной службы позволит: · Обеспечить единый механизм доступа пользователей к информационным ресурсам как из внутренней сети Университета, так и внешней; · создавать Позволит разработчикам новых информационных систем Университета не свою, а использовать пользователями; http://sntbul.bmstu.ru/doc/681183.html централизованную службу управления · Существенно облегчит интеграцию информационных систем. МОДЕЛЬ ПРОЦЕССА ПРЕДОСТАВЛЕНИЯ ДОСТУПА И КОНТРОЛЯ ЗА НИМ Для описания процессов предоставления доступа к информационным ресурсам и контроля за ним традиционно используется модель ААА (Authentication, Authorization, Accounting) [2] (Рисунок 1): Рис. 1. Архитектура ААА модели Рассмотрим каждый из процессов ААА модели: Аутентификация (Authentication) – процесс сопоставления личности пользователя с его учетной записью[2]. Авторизация (Authorization) – процесс назначения прав пользователю, после проведенной им аутентификации и идентификации[2]. Учет (Accounting) – процесс сбора информации, связанной с получением пользователем доступа к запрашиваемому ресурсу[2]. Стоит отметить, что одним из протоколов, часто используемых в комбинации с ААА протоколами, является протокол LDAP (Lightweight Directory Access Protocol) [2]. Наличие в Университете Единой системы управления пользователями использующий LDAP (Active Directory), с актуальной информацией о сотрудниках вуза и Молодежный научно-технический вестник ФС77-51038 студентах, позволяет решить задачу хранения актуальных учетных записей пользователей. [1]. Укрупненный алгоритм проведения аутентификации в модели ААА (Рисунок 1): · Пользователь посылает запрос на аутентификацию в приложении (пароль, ключ и т.д); · Приложение, являясь клиентом службы ААА, перенаправляет запрос на аутентификацию службе AAA; · Служба AAA производит аутентификацию пользователя, используя в качестве источника информации о пользователях единый каталог пользователей Университета. Служба AAA посылает ответ приложению; · Пользователь получает доступ к приложению (иначе пользователю отказано в доступе). Внедрение системы, основанной на модели ААА, обеспечивает эффективную реализацию многих бизнес-задач и позволяет в значительной степени оптимизировать управление ИТ-инфраструктурой вуза. КОНЦЕПЦИЯ ЕДИНОГО ВХОДА В СЕТЬ (SINGLE SIGN ON) Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Так как в вузе используются информационные системы, допускающие независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались[4]. В технологии аутентификации, единого используемые входа другими применяются централизованные приложениями и системами, серверы которые обеспечивают ввод пользователем своих учётных данных только один раз. К основным преимуществам технологии единого входа относятся: · Уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля; · Уменьшение времени на повторный ввод пароля для одной и той же учетной записи; · Поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль; http://sntbul.bmstu.ru/doc/681183.html · Снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей; · Обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям. Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа[4]. Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ RADIUS и DIAMETER Для выполнения функций ААА используется несколько наиболее популярных сетевых протоколов: RADIUS и DIAMETER. RADIUS (Remote Authentication in Dial-In User Service) – протокол для реализации аутентификации, разработанный авторизации для и передачи сбора сведений сведений между об использованных центральной ресурсах, платформой и оборудованием[5]. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа (NAS с системой автоматизированного учёта услуг), RADIUS используется как протокол AAA[6]. DIAMETER – сеансовый протокол, созданный, для преодоления некоторых ограничений протокола RADIUS. Обеспечивает взаимодействие между клиентами в целях аутентификации, авторизации и учёта различных сервисов. Является основным протоколом архитектуры IMS. В основе протокола DIAMETER лежит концепция в создании базового протокола с возможностью его расширения для предоставления сервисов AAA при появлении новых технологий доступа. Молодежный научно-технический вестник ФС77-51038 Ниже представлена таблица сравнения протоколов RADIUS и DIAMETER[7]: Таблица 1 Сравнение протоколов RADIUS и DIAMETER DIAMETER RADIUS Транспортный протокол Ориентированные на соединение протоколы (TCP и SCTP) Протокол без установления соединения (UDP) Защита Hop-to-Hop, End-to-End Hop-to-Hop Поддерживаемые агенты Relay, Proxy, Redirect, Translation Полная поддержка, означающая, что поведение агента может быть реализовано на RADIUSсервере Возможности по согласованию Согласовывает поддерживаемые приложения и уровень безопасности Не поддерживается Обнаружение узлов Статическая конфигурация и динамическое обнаружение Статическая конфигурация Сообщение инициации сервера Поддерживается. Например, сообщение повторной аутентификации, завершения сессии Не поддерживается Максимальный размер данных атрибутов 16,777,215 октетов 255 октетов Поддержка сторонних производителей Поддерживает сторонние атрибуты и сообщения Поддерживает только сторонние атрибуты Central Authentication Service (CAS) В ряде ведущих зарубежных Университетов среди которых: Йе́льский университе́т (Yale University), Калифорнийский университет в Беркли (The University of California, Berkeley), Университет штата Юта (Utah State University) для аутентификации пользователей в корпоративных приложениях используется служба CAS (Central Authentication Service). Центральная служба аутентификации (CAS) является единой точкой входа для вебприложений. Её целью является предоставить пользователю возможность доступа к нескольким приложениям, обеспечивая http://sntbul.bmstu.ru/doc/681183.html при этом их полномочия (например, идентификатор пользователя и пароль) только один раз. Она также позволяет вебприложениям производить аутентификацию пользователей без обращения к учетным данным пользователя, таким как пароль[8]. Схема выполнения аутентификации с использованием CAS сервера представлена на Рисунке 2[9]: Рис. 2. Архитектура выполнения аутентификации с использованием CAS сервера Следует отметить использование ticket (временный идентификатор) для повторной аутентификации пользователей (модель SSO), который хранится в cookies браузера пользователя. Более подробнее про архитектуру выполнения аутентификации с использование CAS можно прочитать здесь: http://www.jasig.org/cas/cas2-architecture. ОРГАНИЗАЦИЯ УДАЛЕННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ УНИВЕРСИТЕТА Отдельной задачей, является организация защищенного удаленного доступа пользователей к корпоративным приложениям Университета. Рассмотрим возможные варианты решения данной задачи. Одним из таких вариантов является использование дополнительных возможностей коммуникационного оборудования, зачастую уже имеющегося в Университете. Речь идет о технологии SSLVPN. Технология Cisco SSLVPN была разработана для организации удаленного доступа к сетям. Для организации безопасного соединения, SSLVPN использует Secure Молодежный научно-технический вестник ФС77-51038 Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Для организации SSLVPN можно использовать возможности операционной системы Cisco IOS (SSL VPN дополнительный модуль), Cisco VPN 3000 Concentrator или специализированное устройство Cisco ASA серии 5500. VPN (Virtual Private Network – виртуальная частная сеть) – логическая сеть, создаваемая поверх другой сети. За счёт шифрования создаются закрытые каналы. Технология совместима с любым обозревателем, поддерживающим SSL. VPN является незаменимым решением в плане эффективности мобильного доступа, безопасности и экономической целесообразности. Использование технологии SSLVPN обеспечивает 3 вида доступа (Рисунок 3): Рис. 3. Модели удаленного доступа SSLVPN Модели удаленного доступа: • Clientless SSL VPN (WebVPN). Доступ к преднастроенным URL-ссылкам через портал к внутренним интранет-веб-сайтам компании. Common Internet File system (CIFS). Позволяет удаленным пользователям обозревать и получать доступ к файлам, расположенным на Windows-based-серверах в корпоративной сети[11]. • Thin Client SSL VPN (Port Forwarding). Позволяет удаленным пользователям запускать клиентские приложения на их ПК через шифрованное соединение в корпоративной сети[12]. • SSL VPN Client (SVC-Full Tunnel Mode). Посредством установки клиента WebVPN удаленный компьютер становится частью корпоративной сети. Cisco Secure Desktop. Дополнительно к SSL VPN (Full Tunnel) устанавливается клиент защищенного рабочего стола Secure Desktop[12]. http://sntbul.bmstu.ru/doc/681183.html В Таблице 2 представлена сравнительная характеристика режимов работы WebVPN[13]: Таблица 2 Сравнительная характеристика режимов работы SSLVPN Clientless Mode Thin-Client Mode Tunnel Mode Поддержка веб-приложений. Использование Java-апплета. Работает подобно IPsec VPN. Файловые ресурсы по CIFS TCP port mapping: Telnet, e- Загружается через Java или mail, приложения на ActiveX. статических портах Поддерживаются все IP приложения. Для установки клиента требуются административные права, перезагрузка компьютера не требуется. Защищенный рабочий стол В случае, если информационные системы Университета реализованы как вебприложения, то удаленный доступ к ним удобно реализовать через WebVPN. WebVPN как средство удаленного доступа к веб-приложениям Технология WebVPN организует эффективное VPN-взаимодействие, позволяющее мобильным сотрудникам получить доступ к корпоративным ресурсам[10]. Основное преимущество данной технологии в отсутствии необходимости удаленному пользователю устанавливать специальное программное обеспечение (клиент). Для удаленного доступа к информационным ресурсам университета (веб-приложениям) используется интернет браузер. Процедура регистрации в корпоративной сети Университета выглядит следующим образом. Пользователь в интернет браузере вводит адрес единой точки удаленного доступа к корпоративным приложениям Университета. В появившемся приглашении (Рисунок 4) вводит свои учетные данные и получает доступ к опубликованным веб-приложениям приложениям. Молодежный научно-технический вестник ФС77-51038 Рис. 4. Регистрация удаленных пользователей в службе WebVPN Для аутентификации, авторизации и учета пользователей служба WebVPN обращается к единой службе ААА Университета. Опубликованные информационные ресурсы представлены в виде списка ссылок (Рисунок 5). Взаимодействие пользователя с информационными ресурсами происходит в режиме защищенного соединения по протоколу HTTPS. Рис. 5. Опубликованные информационные ресурсы представлены в виде списка ссылок Таким образом модель взаимодействия удаленных пользователей с информационными ресурсами Университета может быть представлена в следующем виде (Рисунок 6) http://sntbul.bmstu.ru/doc/681183.html Рис. 6. Схема подключения удаленных пользователей к информационным ресурсам Университета Процесс подключение к корпоративной сети через WebVPN нельзя сравнивать с процессом IPSec [10], так как в этом случае не происходит обмена ключами, а подключение ведется с использованием сертификата. SSL VPN Client как средство удаленного доступа к информационной сети Университета В отличии от WebVPN, реализация SSL VPN предусматривает установку специального программного обеспечения на клиенте (Cisco systems VPN Client). Установленное и настроенное программное обеспечение позволит удаленно подключаться к информационной сети Университета и использовать информационные ресурсы. Рабочее окно программы Cisco VPN Client с настроенным подключением выглядит следующем образом: Молодежный научно-технический вестник ФС77-51038 Рис. 7. Рабочее окно программы Cisco systems VPN Client Взаимодействие пользователя с информационными ресурсами происходит в режиме защищенного соединения по протоколу SSL. Для аутентификации, авторизации и учета пользователей служба SSL VPN обращается к единой службе ААА Университета АРХИТЕКТУРА ЕДИНОЙ СЛУЖБЫ АУТЕНТИФИКАЦИИ, АВТОРИЗАЦИИ И УЧЕТА ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННЫХ РЕСУРСОВ УНИВЕРСИТЕТА Таким образом единая служба аутентификации, авторизации и учета пользователей информационных ресурсов Университета представляется авторам как обоснованный и достаточный набор инструментов обеспечивающий высокий уровень сервиса как для разных категорий пользователей (локальных и удаленных), так и для различных категорий информационных систем Университета. Наиболее сложной задачей является задача определения перечня механизмов аутентификации, достаточного для проведения аутентификации во всех информационных ресурсах Университета. Базовый перечень, на взгляд авторов, должен включить следующие протоколы: CAS, LDAP, NT Domain и RADUIS [3]. Также необходимо предусмотреть способы безопасного удаленного подключения пользователей к корпоративным приложениям вуза из внешних сетей с различных устройств. Для решения этой задачи возможно использование VPN. http://sntbul.bmstu.ru/doc/681183.html Архитектура единой службы аутентификации, авторизации и учета пользователей информационных ресурсов Университета представлена на рисунке (Рисунок 8): Молодежный научно-технический вестник ФС77-51038 Внутренняя сеть Университета Внутренние пользователи Cisco WebVPN SSL VPN Е д и н а я с л у ж б а а у т е н т и ф Информационные ресурсы Ресурс 1 CAS RADIUS LDAP NT Domain Каталог пользователей в (Active Directory) Internet Внешние пользователи Рис. 8. Архитектура единой службы аутентификации, авторизации и учета пользователей МГТУ им Н.Э. Баумана http://sntbul.bmstu.ru/doc/681183.html Основными элементами архитектуры являются: · Единая Служба ААА – является единой службой аутентификации авторизации и учета пользователей информационных ресурсов Университета. В качестве источника учетных записей пользователей служба использует единый каталог пользователей Университета синхронизированный с кадровой информационной системой Университета · Информационные ресурсы – корпоративные приложения вуза, сервисы и др. Помимо получения разрешения на доступ пользователя к ресурсу от Единой Системы Аутентификации, информационные ресурсы могут сами обращаться к единому хранилищу учетных записей пользователей, для выборки дополнительной информации о пользователе и проведения авторизации. · Механизмы аутентификации достаточных для проведения – набор средств аутентификации аутентификации пользователей в существующих корпоративными приложениях вуза. К ним относятся CAS, RADIUS, NT Domain и LDAP. · VPN туннель – защищенный канал, необходимый для доступа пользователей к информационным ресурсам за пределами локальной сети МГТУ им. Н.Э. Баумана. УПРАВЛЕНИЕ УЧЕТНЫМИ ДАННЫМИ ПОЛЬЗОВАТЕЛЕЙ ЧЕРЕЗ ЛИЧНЫЙ КАБИНЕТ Централизованное управление учетными данными пользователей на уровне Университета сопряжено с повседневным решением тяжелых и рутинных задач управления учетными данными пользователей. К сожалению, даже при наличии единого каталога пользователей отдельные атрибуты учетной записи пользователя периодически приходится обновлять (пароль, контактных данные пользователя). Представляется разумным, предоставить пользователю набор инструментов для управления своей учетной записью. Правила формирования логина и пароля учетной записи пользователя В рамках внедрения системы с использованием модели ААА возникает необходимость первичной выдачи пользователям их логинов и паролей. Целесообразным Молодежный научно-технический вестник ФС77-51038 в данном случае является метод генерации логинов и паролей по установленным правилам, при этом соблюдая политики безопасности. Для того, чтобы не выстраивать очереди за получением учетных данных, сгенерированные логин и первичный пароль должны быть изначально известны пользователю (содержать информацию которую пользователь и создатель учетной записи знают, а все остальные нет). Так, в качестве логина для сотрудников Университета можно использовать комбинацию фамилии сотрудника, набранной латиницей и номера личного дела. Данный номер знает каждый сотрудник, так как он написан на расчетном листке. Такое сочетание сделает логин уникальным в рамках Университета. Пример логина сотрудника: Ivanov05374. Студенческим логином, по аналогии, может являться комбинация фамилии студента и номера зачетки. Номер зачетки, к сожалению, не является уникальным в рамках вуза, и может совпадать у отдельных студентов. Однако, в сочетании с фамилией получается уникальный логин студента, соответствующий требованиям политики безопасности Active Directory. Пример логина студента: Ivanov09u123. В качестве первичного пароля можно использовать серию и номер паспорта пользователя. Эти данные известны каждому студенту, аспиранту и сотруднику. Причем, серия и номер паспорта берутся из кадровой и не обязательно являются актуальными но вполне достаточными для использования в качестве первичного пароля. Так, если студент или сотрудник сменил паспорт во время обучения или работы в вузе, то в новом паспорте присутствует информация о серии и номере старого паспорта, поэтому эта информация всегда известна ее владельцу. Поэтому если предложить пользователю на этапе первичной регистрации ввести в качестве пароля серию и номер паспорта, которые содержатся в кадровой системе, то это будет понятно владельцу и не очевидно для других. Возможно использование других данных в качестве первичной генерации пароля. Главное, это соблюдение принципа: «Первичный пароль это информация которая заведомо известна владельцу и неочевидна для остальных». Если данный принцип генерации первичного пароля вызывает недоверие с точки зрения безопасности и надежности, то следует ограничить доступ к проведению первичной регистрации пользователями. Например осуществлять первичную регистрацию только из внутренней сети вуза. Таким образом использование генерации первичных пользовательских логинов и паролей позволит быстро произвести первичную регистрацию пользователей и обеспечить их доступом к личным кабинетам, для дальнейшего управления собственными учетными записями. http://sntbul.bmstu.ru/doc/681183.html Процедура первичной регистрации пользователей в Единой Системе Аутентификации. Получение BMSTU ID и назначение пароля. Для проведения аутентификации пользователей в корпоративных приложениях Университета предлагается использовать единый идентификатор – BMSTU ID. Данный идентификатор состоит из связки фамилии и номера зачетки для студентов и фамилии и номера личного дела для сотрудников. Чтобы получить учетные данные, сотруднику или студенту необходимо пройти процедуру первичной регистрации в системе. Страница регистрации пользователей представлена на Рисунке 9: Рис. 9. Страница регистрации нового пользователя в Единой Системе Аутентификации Молодежный научно-технический вестник ФС77-51038 В перечень обязательных данных для регистрации входят: · Фамилия и Имя · Пароль – пользователь указывает свой пароль, который он будет использовать для авторизации в сервисах · Дата рождения – один из параметров, необходимый для подтверждения личности пользователя · Email – почтовый ящик пользователя. Может использоваться любой почтовый провайдер: bmstu.ru, mail.ru, yandex.ru и др. Необходим для отправки рассылки, и указаний при восстановлении утерянного пароля · Серия и номер паспорта – главный параметр, однозначно подтверждающий личность пользователя Указанные выше данные обязательны в заполнению обоим типам пользователей: студентов и сотрудников. Дополнительной информацией для заполнения студентами является Номер зачетки. Дополнительной информацией для заполнения сотрудниками является Номер личного дела. Эта дополнительная информация необходима для подтверждения личности пользователя. При заполнении регистрационной формы недобропорядочному пользователю сложно оценить какие из указанных параметров являются ключевыми в проведении операции подтверждения личности пользователя. После заполнения пользователем его личных данных, на указанный им Email приходит письмо с ссылкой на страницу активации, содержащую хеш ассоциированный с учетной записью. Это необходимо, чтобы система, производящая активацию получила идентификатор учетной записи пользователя. Стоит отметить, что не смотря на то, что электронный ящик пользователя, указанный при регистрации, будет использоваться для получения пользователем рассылок, и восстановлении утерянного пароля, все операции, связанные с пользователем производятся строго в личном кабинете пользователя, или с использованием сервисов внутри вуза. После того, как пользователь проходит по указанной ссылке, выполняется процедура активации его учетной записи, и пользователь перенаправляется в личный кабинет. http://sntbul.bmstu.ru/doc/681183.html При первом заходе в личный кабинет пользователю отображается его идентификатор BMSTU ID, который является логином для авторизации в корпоративных сервисах МГТУ им Н.Э. Баумана. Таким образом, выполнив указанные выше шаги, сотрудник вуза или студент сами выполняют регистрацию своей учетной записи, и получают логин и пароль для авторизации в корпоративных приложениях вуза или входа в Личный кабинет пользователя. Преимуществами этого решения является отсутствие необходимости первичного личного получения пользователями паролей для входа в Личный кабинет. Использование единого хранилища учетных записей пользователей также решает проблемы получения актуальных данных о сотрудниках и студентах вуза, что решает таки проблемы, как например необходимость продевания студентами своих учетных записей для использования Wi-Fi в вузе. ВЫВОДЫ Внедрение единой службы аутентификации, авторизации и учета пользователей информационных ресурсов Университета с использованием модели ААА обеспечивает эффективную реализацию многих бизнес-задач и позволяет в значительной степени оптимизировать управление ИТ-инфраструктурой вуза. Единый каталог пользователей Университета синхронизированный с кадровой информационной системой Университета представляет собой надежный источник информации о пользователях для единой службы аутентификации, авторизации и учета пользователей информационных ресурсов. Единая служба информационных аутентификации, ресурсов Университета авторизации и учета представляет собой пользователей обоснованный и достаточный набор инструментов обеспечивающий высокий уровень сервиса как для разных категорий пользователей (локальных и удаленных), так и для различных категорий информационных систем Университета Использование CAS сервера позволяет производить аутентификацию пользователей в корпоративных веб-приложениях вуза, на основе справочника Active Directory. Технология SSO, поддерживаемая CAS, позволяет использовать выданный пользователю ticket для работы с множеством корпоративных приложений без проведения повторного ввода логина и пароля пользователя в пределах одной сессии. Молодежный научно-технический вестник ФС77-51038 Наряду с CAS сервером служба должна обеспечивать возможность аутентификации пользователей с использованием RADIUS сервера. Управление учетными данными пользователей через личный кабинет включающее процедуру первичной регистрации и дальнейшее обслуживание своей учетной записи пользователем в Личном Кабинете существенно облегчает задачу администрирования большого числа пользователей. Список литературы 1. Рыбальченко М.А., Остриков С.П., «Разработка единой системы управления пользователями в корпоративных приложениях Университета», Электронный журнал «Молодежный научно-технический вестник» №04, апрель 2013. 2. «AAA Overview», Cisco IOS Security Configuration Guide, URL: http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfaaa.html, (дата обращения 02.10.2013) 3. А. Шелупанов, С. Груздев, Ю. Назаев, «Аутентификация: теория и практика обеспечения безопасного доступа к информационным ресурсам», Горячая линияТелеком, 2009 г. 4. «Описание модели Single Sign On», URL: http://en.wikipedia.org/wiki/Single_sign-on, (дата обращения 02.10.2013). 5. «Remote Authentication Dial In User Service (RADIUS)», RFC 2865. 6. «RADIUS Accounting», RFC 2866. 7. Б. С. Гольдштейн, В. С. Елагин, Ю. Л. Сенченко, Протоколы ААА: RADIUS и Diameter. Серия «Телекоммуникационные протоколы». Книга 9, СПб: БХВ – Санкт-Петербург, 2011. 8. «CAS Architecture», URL: http://www.jasig.org/cas/cas2-architecture, (дата обращения 02.10.2013). 9. Dedra Chamberlin, «How CAS Works», URL: https://wikihub.berkeley.edu/display/calnet/How+CAS+Works, Sep 03, 2009, (дата обращения 02.10.2013) 10. Панин И., «Корпоративные VPN на базе Cisco», журнал «Системный администратор», №6, 2009 г. – С. 78-84. 11. «Thin-Client SSL VPN (WebVPN) IOS Configuration», URL: http://www.cisco.com/en/US/products/ps6496/products_configuration_example09186a00 8072aa61.shtml. (дата обращения 02.10.2013). http://sntbul.bmstu.ru/doc/681183.html 12. «Other Security Features – SSL VPN», URL: http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_ssl_vpn.html. (дата обращения 02.10.2013). Молодежный научно-технический вестник ФС77-51038