Глава 30. Иерархия сети и защита

Наиболее примечательным средством операционной системы NetWare является защита. Защита с помощью пароля обеспечивает регистрацию в системе только уполномоченных пользователей, а чтобы ограничить регистрацию определенным временем и конкретными рабочими станциями, можно использовать сценарии регистрации. Вы можете также ограничить те области сети, к которым будет иметь доступ пользователь после регистрации. Как описывается ниже, для этого используется два типа полномочий доступа.

Полномочия объекта, каталога или файла определяют тех пользователей, которым предоставлены права доступа к объекту, файлу или каталогу.

Служба каталога NetWare Directory Services обеспечивает более высокий уровень защиты, чем это предусматривалось в предыдущих версиях NetWare. Когда вы используете NetWare Administrator, работающий на основе Windows, процесс управления объектами и предоставления полномочий доступа существенно упрощается. Администраторы могут предоставлять руководителям подразделений и начальникам отделов права на создание и управление объектами, находящимися в контейнерах, представляющих их подразделения.

Решающее значение в NetWare v.4 имеет планирование. При правильном планировании вы задаете структуру NetWare Directory Services, которая соответствует структуре и нуждам вашей организации и упрощает назначение полномочий доступа. Например, контейнеры обеспечивают простой способ предоставления пользователям полномочий на весь ассортимент объектов или каталогов и файлов на томах. Если пользователь наследует полномочия контейнера, то он получает те же права доступа к файлам и каталогам, что и объект-контейнер.

Средства защиты NetWare

Защита NetWare начинается с процесса регистрации. После регистрации пользователей их полномочия в сети определяются NDS. В этом разделе описываются полномочия доступа, их назначения и действие в системе.

Права доступа

Права доступа дают пользователям возможность доступа к каталогам и файлам для управления объектами:

Если пользователю предоставляются права супервизора (Supervisor) на контейнер, содержащий объект тома, то он имеет полномочия супервизора на все каталоги этих томов и серверов. С помощью фильтра наследуемых полномочий вы можете блокировать права супервизора объекта, но не каталога или файла.

Полномочия доступа к корневому каталогу файловой системы

Полномочия доступа к корневому каталогу каждого тома и его файлам записываются в объекте каждого тома. Они отделены от полномочий на объект и характеристик, управляющих доступом к объекту тома. При инсталляции NetWare-сервера и его томов пользователю, который инсталлирует сервер и его тома, присваиваются права супервизора на файлы и каталоги. Как и в предыдущих версиях NetWare, права доступа к файлам и каталогам супервизора не могут блокироваться фильтром наследуемых полномочий.

Пользователь, инсталлирующий сервер и тома, с помощью команды FILER или утилиты NetWare Administrator могут назначить другие полномочия для томов и каталогов.

Если пользовательский объект создан в контейнере без тома, назначение дисков поиска для каталога PUBLIC в используемом по умолчанию сценарии регистрации выполнено не будет. Вы должны создать объект пользователя с полномочиями на каталог PUBLIC и том в другом контейнере.

Иерархия пользователей

Сеть NetWare может содержать пользователей с различным типом управления и доступа. В этой главе классифицируются такие пользователи и описываются их функции в сети. Пользователи разбиваются на две основных группы:

Администратор сети

Программа инсталляции NetWare создает по умолчанию объект пользователя ADMIN - администратора сети. Пользователь ADMIN принадлежит к корневому каталогу и, поскольку права доступа действуют в дереве NDS, ADMIN имеет неограниченные права на все объекты в этом дереве.

При регистрации в качестве пользователя ADMIN будьте аккуратны. Вы можете случайно удалить собственные права Supervisor на объект. В этом случае, если никакой другой пользователь не имеет полномочий супервизора на этот объект, доступ к нему полностью аннулируется.

Если вы решите удалить пользовательский объект ADMIN, убедитесь, что вы создали другие пользовательские объекты и предоставили им соответствующие права, чтобы можно было управлять ветвями дерева каталога.

Пользователи

Каждый, кто регистрируется в системе, является пользователем и представляется в NetWare Directory Services объектом пользователя. Объект пользователя содержит имя пользователя, его адрес, номер телефона и другую информацию, включая ограничения регистрации, учетные данные и персональные сценарии регистрации. При создании нового пользовательского объекта вы можете задать собственный каталог пользователя, где пользователь может хранить личные программы и файлы. Пользователи должны иметь полные права на этот каталог, чтобы при необходимости создавать подкаталоги и файлы.

После создания объекта вы можете изменить его характеристики. Перечислим некоторые из них:

Изменение характеристик отдельных пользователей может оказаться слишком утомительным. Вместо этого вы можете создать в каждом контейнере шаблон пользователя, определяющий те характеристики, которые вы хотите присвоить каждому пользователю в контейнере. При создании нового пользовательского объекта вы можете определить, какие из шаблонных значений хотите использовать. Перечислим другие способы упрощения управления объектами пользователей:

Супервизоры

Супервизор - это пользователь с полномочиями Supervisor на объект-контейнер в дереве NetWare Directory Services. Это означает, что пока супервизор более высокого уровня не заблокирует некоторые из этих полномочий, пользователь имеет неограниченные полномочия в этом контейнере и любой контейнерный или листовой объекты, ответвляющиеся от него. В сети может быть несколько супервизоров, каждый из которых обслуживает отдельный объект дерева каталога. Ветви представляют обычно подразделения в организациях.

Супервизору не обязательно иметь полномочия Supervisor. Предоставив им только конкретные права, вы можете создать "ограниченных супервизоров".

Если вы являетесь пользователем ADMIN и только начинаете создавать структуру дерева каталога, то первое, что нужно сделать, это создание организационных объектов для каждого подразделения или отдела (если они не были созданы при инсталляции сервера). Если вы предоставили супервизорам полномочия Supervisor, они могут сами создавать и обслуживать структуру дерева каталога в подразделениях организациях.

Предположим, например, что вы только что инсталлировали сервер MAIN_SRV в подразделении Administration, и сервер ADD_SRV в подразделении Sales. При инсталляции NetWare создает организационные контейнеры Administration и Sales. Вы можете зарегистрироваться с рабочей станции и запустить NetWare Administrator. Затем вы создаете в контейнере Administration пользовательский объект Mike, а в контейнере Sales - пользовательский объект Alex (как показано на приведенном ниже рисунке). Вы можете предоставить этим пользователям полномочия Supervisor в соответствующих контейнерах - они станут супервизорами данной ветви.


                     -  AST_Soft

                     ¦

                     +-+ Administration

                     ¦ ¦

                     ¦ +-- MAIN_SERV_SYS

                     ¦ ¦

                     ¦ +-- MAIN_SERV_VOL1

                     ¦ ¦

                     ¦ +-- MAIN_SERV

                     ¦ ¦

                     ¦ +-- MIKE

                     ¦

                     +-+ Sales

                     ¦ ¦

                     ¦ +-- ADD_SERV_SYS

                     ¦ ¦

                     ¦ +-- ADD_SERV_VOL1

                     ¦ ¦

                     ¦ +-- ADD_SERV

                     ¦ ¦

                     ¦ +-- ALEX

                     ¦

                     +- ADMIN

Супервизоры могут обслуживать ветви дерева NDS и управлять объектами этой ветви. Предположим, например, что пользователь MIKE создает организацию-контейнер под названием Engineer, ответвляющуюся от контейнера Administration (как показано на рисунке ниже). Затем Mike создает объект Stas, который будет супервизором нового контейнера. После предоставления объекту Stas полномочий Supervisor на контейнер Engineer он может создавать в этом контейнере новые объекты, расширяя дерево каталога и добавляя объекты-контейнеры, ответвляющиеся от Engineer. Полномочия супервизора для пользователя Stas в данном примере охватывают только контейнер Engineer, но не контейнеры высшего уровня.


                       -  AST_Soft

                       ¦

                       +-+ Administration

                       ¦ ¦

                       ¦ +-- MAIN_SERV_SYS

                       ¦ ¦

                       ¦ +-- MAIN_SERV_VOL1

                       ¦ ¦

                       ¦ +-- MAIN_SERV

                       ¦ ¦

                       ¦ +-- MIKE

                       ¦ ¦

                       ¦ +-+ Engineer

                       ¦   ¦

                       ¦   +-- Stas

                       ¦

                       +-- Sales

                       ¦

                       +- ADMIN

Операторы

Оператор - это пользователь, который отвечает за системные ресурсы, такие как принтер или сервер. Вы можете предоставить пользователю ограниченные права на объект ресурса, так что при необходимости он сможет изменять характеристики полей объекта. Например, объект принтера имеет поля характеристик, содержащие информацию о том, где находится принтер, его описание, очереди, список уведомления и конфигурацию. Оператор принтера должен иметь полномочия, достаточные для изменения этих полей в случае необходимости.

Операторы обычно связаны с некоторым аппаратным устройством. Они обычно указываются в списке пользователей, с которыми можно связаться в случае проблемы с устройством. Например, если на принтере кончилась бумага, пользователи принтера могут просмотреть характеристики принтера и увидеть, кто за него отвечает. Они могут послать оператору сообщение по электронной почте или позвонить по телефону.

Группы

Группы представляют собой наборы объектов. Вы можете создать группы для упрощения работы с большим числом объектов. Вместо присваивания полномочий доступа к каталогам и файлам отдельным пользователям, вы можете включить этих пользователей в группу и присвоить эти полномочия группе. Пользователь может быть членом нескольких групп. Приведем некоторые примеры и способы использования групп:

Группа не является объектом контейнером. Это просто набор имен объектов пользователей.

Просмотр полномочий

Давайте ближе рассмотрим полномочия. Как вы уже видели, пользователям сети нужны права доступа на отдельные сетевые ресурсы и для работы с файлами файловой системы. Полномочий точно определяют, как пользователь может получить доступ к каталогам и файлам в файловой системе. Полномочия на характеристики каталоги, файлы и объекты показаны в следующих таблицах.

Полномочия доступа к каталогу
Полномочие
Описание
Supervisor
(супервизор)
Имеет все полномочия доступа к каталогу, его файлам и подкаталогам. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий. Пользователи с такими полномочиями могут предоставлять права на каталог, его файлы и подкаталоги другим пользователям
Read
(чтение)
Полномочия на выполнение программ в каталоге, на открытие файлов в каталоге и чтение его содержимого.
Write
(запись)
Полномочия на открытие и изменение существующих в каталоге файлов.
Create
(создание)
Полномочия на создание в каталоге новых файлов и подкаталогов.
Erase
(удаление)
Полномочия на удаление каталога, его файлов и подкаталогов.
Modify
(изменение)
Полномочия на изменение атрибутов или имен каталогов, файлов и подкаталогов, но не их содержимого.
File Scan
(просмотр файла)
Полномочия на просмотр каталога и его файлов с помощью команд DIR и NDIR.
Access Control
(Управление доступом)
Полномочия на изменение прав доступа и фильтра наследуемых полномочий каталога, его файлов и подкаталогов.

Полномочия доступа к файлу
Полномочие
Описание
Supervisor
(супервизор)
Имеет все полномочия доступа к файлу. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий. Пользователи с такими полномочиями могут предоставлять права на файл и изменять фильтр наследуемых полномочий файла.
Read
(чтение)
Полномочия на открытие и чтение файла.
Create
(создание)
Полномочия восстановление файла после его удаление.
Write
(запись)
Полномочия на открытие и изменение существующих файлов.
Erase
(удаление)
Полномочия на удаление файла.
Modify
(изменение)
Полномочия на изменение атрибутов или имен файлов, но не на изменение их содержимого.
File Scan
(просмотр файла)
Полномочия на просмотр файла с помощью команд DIR и NDIR.
Access Control
(Управление доступом)
Полномочия на изменение прав доступа и фильтра наследуемых полномочий файла.

Назначение прав доступа файлам и каталогам

Чтобы задать права доступа к файлу или каталогу, нужно сначала открыть содержащий этот каталог том, дважды щелкнув "мышью" на объекте тома. Выводится листинг с перечнем содержимого. Затем вы можете щелкнуть правой кнопкой "мыши" на пиктограмме каталога и выбрать Details. Выводится диалоговое окно Details (оно показано в следующем разделе).

Чтобы добавить права доступа, можно щелкнуть "мышью" на командной кнопке Add Trustee, а затем выберите из списка объект, например пользователя или группу. Обратите внимание, что группа Managers на схеме подсвечивается, и в блоке Access Rights указываются текущие полномочия. В любой момент вы можете изменить полномочия (если имеете на это право), изменив для этого параметры в диалоговом окне. (Подробнее эта процедура освещается в одной из следующих глав.)

Назначение полномочий для объектов

С помощью NetWare Administrator добавить полномочия доступа можно двумя способами:

Предположим, вы хотите предоставить упомянутой выше группе Managers полномочия доступа на том MAIN_SERV_SYS (см. показанную ниже схему). Заметим, что тома являются объектами, а не каталогами. Вы можете отбуксировать пиктограмму группы Managers в объект тома. При этом открывается показанное ниже окно Object Trustees. В этом окне выберите соответствующие полномочия и щелкните "мышью" на OK.


                        - AST_Soft

                        ¦

                        +-+ Administration

                        ¦ ¦

                        ¦ +-- MAIN_SERV_SYS

                        ¦ ¦ ¦

                        ¦ ¦ +-- _NETWARE

                        ¦ ¦ ¦

                        ¦ ¦ +-- APPS

                        ¦ ¦ ¦

                        ¦ ¦ +-- BIN

                        ¦ ¦ ¦

                        ¦ ¦ +-- DELETED.SAV

                        ¦ ¦ ¦

                        ¦ ¦ +-- DOCS

                        ¦ ¦ ¦

                        ¦ ¦ +-- ELX

                        ¦ ¦ ¦

                        ¦ ¦ +-- LEX

                        ¦ ¦ ¦

                        ¦ ¦ +-- LOGIN

                        ¦ ¦ ¦

                        ¦ ¦ +-- MAIL

                        ¦ ¦ ¦

                        ¦ ¦ +-- PUBLIC

                        ¦ ¦ ¦

                        ¦ ¦ +-- SYSTEM

                        ¦ ¦ ¦

                        ¦ ¦ +-- USERS

                        . .

                        . .

                        . .

Если вы используете второй метод назначения полномочий, то выводится то же показанное ниже диалоговое окно, но NetWare Administrator не знает, какому объекту нужно присвоить полномочия доступа на данный объект. Вам нужно щелкнуть "мышью" на командной кнопке Add Trustee, а затем просмотреть дерево каталога и найти объект, который должен получить полномочия.

Полномочия доступа к объекту
Полномочие
Описание
Supervisor
(супервизор)
Имеет все полномочия доступа к объекту. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий нижерасположенных объектов с полномочиями супервизора и индивидуальными характеристиками объекта.
Read
(чтение)
Эти полномочия позволяют видеть объект в дереве каталога. При поиске объекта возвращается его имя.
Create
(создание)
Полномочия на создание нового объекта, подчиненного данному объекту в дереве каталога. Полномочия нового объекта не определены. Эти полномочия доступны только для объектов-контейнеров, так как не контейнеры не могут иметь подчиненных объектов.
Delete
(удаление)
Полномочия на удаление объекта из дерева каталога. Чтобы удалить объекты с подчиненными объектами, нужно сначала удалить все подчиненные объекты.
Rename
(изменение)
Полномочия на изменение имени объекта (фактически означает изменение характеристики имени).

При предоставлении полномочий на объекты томов нужно соблюдать аккуратность. Объект-том - это "переходная точка" между объектами NetWare Directory Services и файловой системой. Если вы предоставляете на объект тома полномочия супервизора, то объект будет также иметь эти полномочия на корневой каталог тома (и в результате на все другие его каталоги).

Полномочия доступа к характеристики
Полномочие
Описание
Supervisor
(супервизор)
Имеет все полномочия на характеристику. Характеристика Supervisor может блокироватья фильтром наследуемых полномочий.
Compare
(сравнение)
Полномочия на сравнение со значением характеристики любого значения. Операция сравнения может возвращать значение True или False, но значение характеристики вы видеть не можете. Полномочия Compare включают в себя полномочия Read.
Read
(чтение)
Полномочия на чтение значения характеристики Подмножеством Read является Compare. Если задано Read, то разрешены также операции сравнения.
Write
(запись)
Полномочия на добавление, изменение или удаление значения характеристики. Полномочия Write включают в себя полномочия Add Self и Manager.
Add Self
(самомодификация)
Полномочия Add Self позволяют добавлять или удалять себя как значения характеристики. На другие значения характеристики вы влиять не можете. Эти полномочия имеют смысл только для характеристик, содержащих в качестве значений имена объектов, таких как списки членов группы и адресатов. Полномочия Write включают в себя Add Self.

Полномочия на характеристики объектов

Каждый объект имеет набор характеристик, определяющих его имя, расположение, подразделение и другую информацию. Эти характеристики выводятся в полях диалогового окна Details объекта (см. ниже). Чтобы вывести это диалоговое окно, вы можете щелкнуть на объекте кнопкой "мыши".

Диалоговое окно Details


       +---------------------------------------------------------------+

       ¦ = -----------------Directory:MAIN_SERV_SYS:\APPS--------------¦

       ¦ Trustees of this Directory                  +----------------+¦

       ¦ +------------------------------------------+¦ identification ¦¦

       ¦ ¦ Trustees:              +----------------+¦+----------------+¦

       ¦ ¦+----------------------+¦Effective Rights¦¦+----------------+¦

       ¦ ¦¦- AST_Soft            ¦+----------------+¦¦      Facts     ¦¦

       ¦ ¦¦- Management.Administr¦+----------------+¦+----------------+¦

       ¦ ¦¦                      ¦¦  Add Trustee...¦¦+----------------+¦

       ¦ ¦¦                      ¦+----------------+¦¦ Trustee of the ¦¦

       ¦ ¦¦                      ¦+----------------+¦¦    directory   ¦¦

       ¦ ¦¦                      ¦¦ Delete Trustee ¦¦+----------------+¦

       ¦ ¦¦                      ¦+----------------+¦+----------------+¦

       ¦ ¦¦                      ¦+----------------+¦¦   Attributes   ¦¦

       ¦ ¦+----------------------+¦  Clear Filter  ¦¦+----------------+¦

       ¦ ¦                        +----------------+¦                  ¦

       ¦ ¦+-Access Rights----++-Inheritence Filter-¬¦                  ¦

       ¦ ¦¦* Supervisor      ¦¦X Supervisor        ¦¦                  ¦

       ¦ ¦¦* Read            ¦¦П Read              ¦¦                  ¦

       ¦ ¦¦o Write           ¦¦П Write             ¦¦                  ¦

       ¦ ¦¦o Create          ¦¦П Create            ¦¦                  ¦

       ¦ ¦¦o Erase           ¦¦П Erase             ¦¦                  ¦

       ¦ ¦¦o Modify          ¦¦П Modify            ¦¦                  ¦

       ¦ ¦¦* File Scan       ¦¦П File Scan         ¦¦                  ¦

       ¦ ¦¦o Access Control  ¦¦П Access Control    ¦¦                  ¦

       ¦ ¦+------------------++--------------------+¦                  ¦

       ¦ +------------------------------------------+------------------+

       ¦ +----------++----------++----------+                          ¦

       ¦ ¦    OK    ¦¦  Cancel  ¦¦   Help   ¦                          ¦

       ¦ +----------++----------++----------+                          ¦

       +---------------------------------------------------------------+

Можно также управлять тем, какие из пользователей могут просматривать и изменять эти поля, для чего используется диалоговое окно Object Trustee. Обратите внимание на поле Property Rights диалогового окна Object Trustees (см. рисунок), где выбрано All Properties (Все характеристики). Если вы щелкните "мышью" на командной кнопке Selected Properties этого диалогового окна, то сможете изменить права отдельных объектов на индивидуальные характеристики текущего объекта. Все перечисленные в окне характеристики представляют собой имена полей, с которыми вы можете работать в диалоговом окне Details. Например, вы можете отменить полномочие Read на поле Telephone, так что пользователь, имеющий полномочия на данный объекте, не будет видеть номера телефона. Вы можете также предоставить пользователям в подразделении Administration полномочие Write на поле Telephone, так что они смогут изменять это поле.

Диалоговое окно Object Trustee (Поля Properties Rights и Object Trustees управляют доступом к окну Details)


       +---------------------------------------------------------------+

       ¦ = --Object.Trustee.Volume:MAIN_SERV_SYWS:Servers.Admistration-¦

       ¦ +------------------------------------------++----------------+¦

       ¦ ¦ Trustees:                                ¦¦Effective Rights¦¦

       ¦ ¦+----------------------------------------+¦+----------------+¦

       ¦ ¦¦- Admin.AST__Soft                       ¦¦+----------------+¦

       ¦ ¦¦- Manager.Administration.Moscow.AST_Soft¦¦¦  Add Trustee...¦¦

       ¦ ¦¦- Mike.Administration.Moscow.AST_Soft   ¦¦+----------------+¦

       ¦ ¦¦                                        ¦¦+----------------+¦

       ¦ ¦¦<-------------------------------------->¦¦¦ Delete Trustee ¦¦

       ¦ ¦+----------------------------------------+¦+----------------+¦

       ¦ ¦                                          ¦+----------------+¦

       ¦ ¦                                          ¦¦   Attributes   ¦¦

       ¦ +------------------------------------------++----------------+¦

       ¦ ¦+-Object Rights----++-Property Rights-----------------------+¦

       ¦ ¦¦x Supervisor      ¦¦* Alls Properties     x Supervisor     ¦¦

       ¦ ¦¦x Browse          ¦¦o Selected Properties x Compare        ¦¦

       ¦ ¦¦o Create          ¦¦+--------------------+x Read           ¦¦

       ¦ ¦¦o Delete          ¦¦¦                   ^¦                 ¦¦

       ¦ ¦¦o Rename          ¦¦¦                   -¦                 ¦¦

       ¦ ¦¦ +----------+     ¦¦¦                   v¦   +----------+  ¦¦

       ¦ ¦¦ ¦  Clear   ¦     ¦¦¦<-----------------> ¦   ¦  Clear   ¦  ¦¦

       ¦ ¦¦ +----------+     ¦¦+---------------------   +----------+  ¦¦

       ¦ ¦+------------------++---------------------------------------+¦

       ¦ +-------------------------------------------------------------+

       ¦ +----------++----------++-----------------------++----------+ ¦

       ¦ ¦    OK    ¦¦  Cancel  ¦¦Inherited Rights Filter¦¦   Help   ¦ ¦

       ¦ +----------++----------++-----------------------++----------+ ¦

       +---------------------------------------------------------------+

По умолчанию все пользователи могут просматривать характеристики объектов, но не могут их изменять. Однако пользователи могут изменять сценарий регистрации собственного пользовательского объекта.

Диалоговое окно Details (см. рисунок) - это многостраничное диалоговое окно. Командные кнопки справа открывают другие страницы и выводят различные характеристики. Данная первая страница содержит базовую информацию об объекте, в данном случае объекте пользователя. Обратите внимание на имена других страниц информации, такие как Login Restrictions и Login Script. Обычно другие пользователи сети могут просматривать для объекта диалоговое окно Details, но, если им не предоставлены на это конкретные полномочия, изменять поля они не могут. Супервизор обычно имеет полные полномочия на просмотр и изменение всех характеристик объектов. Чтобы легче было обновлять информацию, вы можете добавить уполномоченных операторов с ограниченными правами на изменение полей. Чтобы предоставить эти конкретные полномочия, вы можете щелкнуть "мышью" на Selected Properties и выбрать характеристики для изменения, например, выбрать из списка Telephone и затем щелкнуть "мышью" на Read и Write.

Диалоговое окно Detals для объекта пользователя


       +---------------------------------------------------------------+

       ¦ = ---------------------User:Mike------------------------------¦

       ¦ Identification                                                ¦

       ¦ +------------------------------------------++----------------+¦

       ¦ ¦ Login Name:   Mike                       ¦¦ identification ¦¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ Last Name:    ¦Mike               ¦¦¦..¦¦+----------------+¦

       ¦ ¦               +-------------------+--+--+¦¦   Enviroment   ¦¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ Other Names:  ¦Michael Jackson    ¦¦¦..¦¦+----------------+¦

       ¦ ¦               +-------------------+--+--+¦¦     Login      ¦¦

       ¦ ¦               +-------------------+-+---+¦¦  Restriction   ¦¦

       ¦ ¦ Title:        ¦Supervisor of Admin¦¦¦..¦¦+----------------+¦

       ¦ ¦               +-------------------+--+--+¦+----------------+¦

       ¦ ¦               +-----------------------+-+¦¦   Password     ¦¦

       ¦ ¦ Description:  ¦                       ¦^¦¦¦  Restriction   ¦¦

       ¦ ¦               ¦                       ¦v¦¦+----------------+¦

       ¦ ¦               +-----------------------+-+¦+----------------+¦

       ¦ ¦               +-------------------+-+---+¦¦  Login Time    ¦¦

       ¦ ¦ Location:     ¦Moscow Division    ¦¦¦..¦¦¦  Restriction   ¦¦

       ¦ ¦               +-------------------+--+--+¦+----------------+¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ Departmant:   ¦Administration     ¦¦¦..¦¦¦  Login Script  ¦¦

       ¦ ¦               +-------------------+--+--+¦+----------------+¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ Telephone:    ¦829-1152-0582      ¦¦¦..¦¦¦Intruder Lockout¦¦

       ¦ ¦               +-------------------+--+--+¦+----------------+¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ Fax Number:   ¦829-1152-0544      ¦¦¦..¦¦¦  Rights to the ¦¦

       ¦ ¦               +-------------------+--+--+¦¦  File System   ¦¦

       ¦ ¦               +-------------------+-+---+¦+----------------+¦

       ¦ ¦ EMail Address:¦75570.3321         ¦¦¦..¦¦+----------------+¦

       ¦ ¦               +-------------------+--+--+¦¦     Group      ¦¦

       ¦ ¦                                          ¦¦   Membership   ¦¦

       ¦ ¦                                          ¦+----------------+¦

       ¦ +------------------------------------------+------------------+

       ¦ +----------++----------++----------+                          ¦

       ¦ ¦    OK    ¦¦  Cancel  ¦¦   Help   ¦                          ¦

       ¦ +----------++----------++----------+                          ¦

       +---------------------------------------------------------------+

Наследование

Возможно, наиболее важным принципом в объектах NetWare и защите файловой системы является действие полномочий сверху вниз. Проще всего это понять на примере файловой системы. Если пользователь имеет на каталог полномочия Read, Write и Create, то он будет иметь те же полномочия на подкаталоги (если они не изменены явным образом). Эти полномочия передаются вниз по структуре каталога. Когда супервизор явным образом изменяет полномочия, это означает, что он блокирует наследование полномочий на подкаталог для всех пользователей, группы пользователей или одного пользователя.

Тот же принцип применяется к объектам. Если пользователь имеет полномочия на объект-контейнер, то этот пользователь имеет те же полномочия на любой контейнер и объекты-листья, принадлежащие данному объекту-контейнеру. Например, если контейнер содержит объект принтера, и пользователь имеет полномочия на контейнер, то те же полномочия пользователь имеет на принтер. Полномочия продолжают действовать сверху-вниз через все контейнеры, пока они не блокируются.

Аналогичным образом пользователь, принадлежащий контейнеру, получает все полномочия этого контейнера. Поясним это на примере. Предположим, фирма имеет структуру, показанную на следующем рисунке:


                     -  AST_Soft

                     ¦

                     +-+ Moscow

                     ¦ ¦

                     ¦ +--Administration

                     ¦ ¦

                     ¦ +-- Marketing

                     ¦ ¦

                     ¦ +-- Sales

                     ¦

                     +-+ Novgorod

                     ¦ ¦

                     ¦ +-+ Sales

                     ¦   ¦

                     ¦   +-- ADD_SERV_SYS

                     ¦   ¦

                     ¦   +-- ADD_SERV_VOL1

                     ¦   ¦

                     ¦   +-- ADD_SERV

                     ¦

                     +- ADMIN

Объекту с именем Mike в отделе продаж (Sales) московского подразделения (Moscow) требуется доступ к каталогу DAT на томе SYS сервера ADD_SERV новгородского отдела продаж (Novgorod). Чтобы предоставить пользователю Mike полномочия на каталог DAT, вы можете выбрать каталог и создать назначения полномочий, которые могут быть следующими:

Это демонстрирует, как действуют полномочия в структуре каталога. Назначая полномочия контейнерам, находящимся выше в дереве каталога, вы увеличиваете число объектов, которым предоставляются полномочия. Присваивание полномочий объектам-контейнерам может упростить вашу задачу, но здесь следует соблюдать аккуратность. Возможно, не стоит предоставлять эти полномочия некоторым объектам в контейнерах. Лучше создать группы пользователей и назначать полномочия группам.

Если в объекте-контейнере, который содержит том SYS, вы создаете новый пользовательский объект, то этот пользователь имеет возможность выводить список файлов и выполнять программы в каталоге PUBLIC. Это связано с тем, что объект-контейнер, содержащий том SYS, автоматически имеет полномочия Read и File Scan на каталог PUBLIC.

Фильтры наследуемых полномочий

Теперь обсудим, как можно предотвратить безконтрольное наследование полномочий. Для блокирования обычной передачи полномочий вниз по дереву каталога используется фильтр (маска) наследуемых полномочий IFR (Inherited Rights Filter). В общем случае, если пользователь имеет на каталог полномочия Read, Write, Create и File Scan, то он имеет эти полномочия и на подкаталоги данного каталога. Однако некоторые из этих полномочий можно заблокировать с помощью IFR (или присвоить для подкаталогов новые полномочия). Например, вы можете блокировать полномочия Write и Create, предотвратив создание и модификацию пользователем файлов в подкаталоге.

Наиболее важным в фильтрах IFR является то, что они принадлежат объекту NetWare Directory Services или каталогу файловой системы и могут применяться ко всем пользователям, которые имеют доступ к объекту или каталогу.

IFR изменяет характер наследования полномочий доступа вниз по структуре каталога и дереву NDS. Вы можете использовать IFR там, где механизм наследования полномочий достаточен, но требуются небольшие изменения. Отметим следующее:

Биты в фильтре полномочий определяются следующим образом:


       +---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+

       ¦ 15¦ 14¦ 13¦ 12¦ 11¦ 10¦ 9 ¦ 8 ¦ 7 ¦ 6 ¦ 5 ¦ 4 ¦ 3 ¦ 2 ¦ 1 ¦ 0 ¦

       +---+---+---+---+---+---+---+--++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--

                                      ¦  ¦   ¦   ¦   ¦   ¦   ¦   ¦   ¦

                                      ¦  ¦   ¦   ¦   ¦   ¦   ¦   ¦   ¦

                           Супервизор<-  ¦   ¦   ¦   ¦   ¦   ¦   ¦   ¦

          (предоставляются все права)    ¦   ¦   ¦   ¦   ¦   ¦   ¦   ¦

                                         ¦   ¦   ¦   ¦   ¦   ¦   ¦   ¦

                          Модификация<----   ¦   ¦   ¦   ¦   ¦   ¦   ¦

               (могут модифицироваться       ¦   ¦   ¦   ¦   ¦   ¦   ¦

                атрибуты файлов)             ¦   ¦   ¦   ¦   ¦   ¦   ¦

                                             ¦   ¦   ¦   ¦   ¦   ¦   ¦

                     Наблюдение файла<--------   ¦   ¦   ¦   ¦   ¦   ¦

               (файл можно видеть при            ¦   ¦   ¦   ¦   ¦   ¦

                просмотре каталога)              ¦   ¦   ¦   ¦   ¦   ¦

                                                 ¦   ¦   ¦   ¦   ¦   ¦

                  Управление доступом<------------   ¦   ¦   ¦   ¦   ¦

          (могут изменяться полномочия               ¦   ¦   ¦   ¦   ¦

           доступа)                                  ¦   ¦   ¦   ¦   ¦

                                                     ¦   ¦   ¦   ¦   ¦

                             Удаление<----------------   ¦   ¦   ¦   ¦

                 (файл можно удалить)                    ¦   ¦   ¦   ¦

                                                         ¦   ¦   ¦   ¦

                             Создание<--------------------   ¦   ¦   ¦

                 (файл можно создать)                        ¦   ¦   ¦

                                                             ¦   ¦   ¦

                       Зарезервирован<------------------------   ¦   ¦

                                                                 ¦   ¦

                               Запись<----------------------------   ¦

          (допускается запись файлов)                                ¦

                                                                     ¦

                               Чтение<--------------------------------

           (допускается чтение файлов)

Действующие полномочия

Фактические полномочия, которые имеет пользователь на каталог или объект, зависят от следующего:

Все это в совокупности образует действующие полномочия. Чтобы пояснить, как изменяются действующие полномочия, давайте рассмотрим пример. Предположим, создан новый каталог с именем ACCNT, и объект пользователя Bob имеет полномочия Read, Write, Create и File Scan на этот каталог (RWCF). Так как полномочия действуют сверху вниз, Bob имеет также полномочия Read, Write, Create и File Scan на подкаталог DATA этого каталога.

Предположим теперь, что супервизор пользователя Bob создает в DATA подкаталог REPORTS и применяет к нему фильтр наследуемых полномочий, который блокирует полномочия Write и Create. Действующие полномочия пользователя Bob в каталоге REPORTS показаны в столбце C на приведенном ниже рисунке. Наконец, супервизор создает для пользователя Bob специальный каталог данных с именем REVIEW с полномочиями Read, Write, Create и File Scan (как показано в столбце D). Специальные назначения полномочий переопределяют фильтр IRF.


               A        B        C       D

            +------+ +------+ +------+ +------+

            ¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ ACCNT

            +------+ +------+ +------+ +------+

                     +------+ +------+ -------+

                     ¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ DATA

                     +------+ +------+ +------+

                              +---------------+

                              ¦ RWCF     RWCF ¦ Фильтр наследуемых

                              ¦  xx       xx  ¦    полномочий

                              +---------------+

                              +------+ +------+

                              ¦  RF  ¦ ¦  RF  ¦ REPORTS

                              +------+ +------+

                                       +------+

                                       ¦ RWCF ¦ REVIEW

                                       +------+

Эквиваленты защиты

Вы можете присвоить пользовательским объектам эквивалентную (другим объектам) защиту. Это означает, что они получают все ограничения регистрации, ограничения рабочей станции и полномочия доступа объектов, которым они приравниваются по защите. Например, если пользователь Alex, супервизор ветви дерева каталога, уходит в отпуск, вы можете создать другой пользовательский объект, эквивалентный по защите объекту Alex. Эквивалентный по защите пользователь будет иметь те же полномочия даже на частный каталог пользователя Alex, поэтому этим средством нужно пользоваться аккуратно. Эквиваленты защиты могут упростить задачи администрирования, но убедитесь, что вы не предоставляете с их помощью излишних полномочий.

Эквиваленты защиты можно назначать с помощью команды Sequirity Equivalences в диалоговом окне Details. Уполномоченный пользовательский объект может добавить к списку эквивалентов защиты другие пользовательские объекты. Для этого он должен иметь полномочия Write на характеристику Security Equivalence объекта.

Не предоставляйте пользователям полномочий на изменения собственной характеристики эквивалентности защиты. Они могут добавить объект с характеристиками Supervisor и таким образом получить к тем областям сети, доступ к которым они иметь не должны. Используя фильтр наследуемых полномочий, вы можете даже пойти еще дальше и блокировать полномочие Write на поле Security Equivalence.

Специальные объекты и шаблоны

Специальные объекты и шаблоны могут помочь вам управлять объектами и полномочиями дерева NDS:

Правила защиты

В данном разделе кратко описываются полномочия доступа NetWare Directory Services и файловой системы NetWare.

[Назад] [Содержание] [Вперед]