זיהוי אנשים במחשבים והרשאות גישה למשאבי רשת

הצורך בקיום שמות משתמש והרשאות במחשבים-ושיטות היישום

לא משנה באיזה סוג של תשתית רשת פיסית אנחנו משתמשים על מנת לשתף משאבים (אינטרנט, מדפסות, קבצים וכל סוג של מידע אחר) בין המחשבים שברשת שלנו, תמיד נרצה שתהיה לנו איזושהי רמה של בקרה על הנגישות למשאבים אלו. נחיצותה של בקרת הגישה למשאבי רשת ברשתות מחשבים עסקיות נובעת משלוש סיבות אפשריות:
  1. דרישת מידור מידע מצד מנהלי/בעלי העסק עצמו. לדוגמא: רוב בעלי העסקים לא יהיו מעוניינים בחשיפת מידע לגבי גובה המשכורות,דוחות מאזנים ורווחים לכלל העובדים בעסק, ולכן יעדיפו למדר את המידע הממוחשב של הנהלת החשבונות, לגישה בלעדית של העוסקים בהנהלת חשבונות והנהלת החברה.
  2.  דרישת מידור מידע מצד ספקים ו/או לקוחות. לדוגמא: משרד פרסום, אשר לקוחותיו אינם מעוניינים שנתוני מסע פרסום הנמצאים בשלבי תכנון ידלפו למתחרים, יקבל את מסע הפרסום לניהולו, בתנאי שיקבל דרישות מידור ואבטחת מידע המוכתבות על ידי לקוחות אלה.
  3. דרישת מידור מידע מכוח חוקים או תקנות (רגולציה).לדוגמא: חוק הגנת הפרטיות התשמ"א- 1981.
אם כן, על מנת לקיים בקרה כזו על נגישות למשאבים משותפים ברשת עולה הצורך להקים תשתית  המורכבת משני מרכיבים הכרחיים:
רשימת משתמשים:
כלומר רשימה מוגדרת מראש של אנשים הרשאיםלהשתמש במחשבים וכן שיטה לזיהוי אנשים במחשבים כאשר כל ניסיון של משתמש מחשב להציג זיהוי עצמי, מאומת (נדחה גישה או מאושר גישה) מול הרשימה המוגדרת מראש הנ"ל. הכלים לזיהוי אנשים במחשבים המקובלים היום הם:
  • צירוף של שם משתמש וסיסמא "סודיים" ואישיים(Credentials)-השיטה הזולה והפופולארית ביותר כיום לזיהוי משתמש. 
  • זיהוי ביומטרי (קריאת טביעת אצבע/כף יד או קריאת תבנית קרנית העין)
  • זיהוי באמצעות כרטיס חכם –כרטיס מגנטי.
רשימת הרשאות:
כלומר רשימה של תיקיות,קבצים,מדפסות,מאגרי מידע אליהם רשאי לגשת כל אחד ואחד מן המשתמשים שברשימה הקודמת ורשימת דרגות שונות של הרשאת גישה אליהם, ומפורטת לפעמים עד לפרטי פרטים של רמת ההרשאה. דוגמאות לרמות הרשאה מקובלות:
  • קריאה בלבד (המשתמש רשאי לעיין בקובץ/תיקיה אך אינו רשאי לשנותו)
  • קריאה/כתיבה (המשתמש רשאי לעיין בקובץ ולשנותו אך אינו רשאי למחוק אותו)
  • מחיקה (המשתמש רשאי למחוק את הקובץ/תיקיה)
  • שליטה מלאה (המשתמש רשאי לעשות כל מה שמופיע למעלה גם יחד ובנוסף רשאי לשנות הרשאות לעצמו ולאחרים על הקובץ/התיקייה הנוכחיים)
 
מיקום רשימות המשתמשים והרשאותיהם
אם כן מרגע שהחלטנו שבקרת גישה היא הכרחית וניהול רשימות משתמשים ורשימות הרשאות היא תנאי מוקדם לקיום בקרת גישה כזו, עולה השאלה הבאה: היכן למקם את מאגר הנתונים לאימות הזיהוי? כלומר, לדוגמא: נניח שהעובד יוסי הגיע בבוקר והדליק את מחשבו ונתקל בחלון, הדורש ממנו להזדהות באמצעות שם משתמש וסיסמא. השאלה הנשאלת היא, איזה מחשב מחזיק את מאגר שמות המשתמשים וסיסמאותיהם מולו מושווה (מאומת-מאושר או נדחה) שם המשתמש והסיסמא אותם יקליד יוסי?
ישנן שתי אפשרויות:
  1. המחשב אליו מנסה המשתמש להתחבר (פתרון רשת workgroup) מחזיק את מאגר שמות המשתמש והסיסמאות של האנשים להם מותר להיכנס (login) למחשב זה.
  2.  שרת כלשהו היכן שהוא ברשת (פתרון רשת Domain) מחזיק את מאגר שמות המשתמש והסיסמאות של האנשים להם מותר להיכנס למחשב זה.