Глава 30. Иерархия сети и защита
- Средства защиты NetWare
- Права доступа
- Полномочия доступа к корневому каталогу файловой системы
- Иерархия пользователей
- Администратор сети
- Пользователи
- Супервизоры
- Операторы
- Группы
- Просмотр полномочий
- Назначение прав доступа файлам и каталогам
- Назначение полномочий для объектов
- Полномочия на характеристики объектов
- Наследование
- Фильтры наследуемых полномочий
- Действующие полномочия
- Эквиваленты защиты
- Специальные объекты и шаблоны
- Правила защиты
Наиболее примечательным средством операционной системы NetWare является защита. Защита с помощью пароля обеспечивает регистрацию в системе только уполномоченных пользователей, а чтобы ограничить регистрацию определенным временем и конкретными рабочими станциями, можно использовать сценарии регистрации. Вы можете также ограничить те области сети, к которым будет иметь доступ пользователь после регистрации. Как описывается ниже, для этого используется два типа полномочий доступа.
Полномочия объекта, каталога или файла определяют тех пользователей, которым предоставлены права доступа к объекту, файлу или каталогу.
- Полномочия доступа к каталогу и файлу. Это права, которые вы можете предоставить пользователю для доступа к каталогам и файлам, так что они могут использовать записанные в них данные и программы. Полномочия доступа к каталогу включают в себя права доступа ко всем файлам этого каталога. Пользователи получают доступ к каталогам и файлам путем явного предоставления этих полномочий и путем наследования этих полномочий из родительских каталогов. Полномочия передаются сверху вниз от объекта-контейнера к объектам-листьям или от каталога к подкаталогу. Такие полномочия называются наследуемыми полномочиями.
- Права на объекты и характеристики. Все пользователи и ресурсы в сети представляются в виде объектов. Пользователи уровня супервизора управляют этими объектами, предоставляя полномочия на просмотр и изменения объектов. Права на объекты определяют, кто может изменять и создавать эти объекты. Права на характеристики определяют, кто может просматривать и изменять характеристики данных объектов.
Служба каталога NetWare Directory Services обеспечивает более высокий уровень защиты, чем это предусматривалось в предыдущих версиях NetWare. Когда вы используете NetWare Administrator, работающий на основе Windows, процесс управления объектами и предоставления полномочий доступа существенно упрощается. Администраторы могут предоставлять руководителям подразделений и начальникам отделов права на создание и управление объектами, находящимися в контейнерах, представляющих их подразделения.
Решающее значение в NetWare v.4 имеет планирование. При правильном планировании вы задаете структуру NetWare Directory Services, которая соответствует структуре и нуждам вашей организации и упрощает назначение полномочий доступа. Например, контейнеры обеспечивают простой способ предоставления пользователям полномочий на весь ассортимент объектов или каталогов и файлов на томах. Если пользователь наследует полномочия контейнера, то он получает те же права доступа к файлам и каталогам, что и объект-контейнер.
Средства защиты NetWare
Защита NetWare начинается с процесса регистрации. После регистрации пользователей их полномочия в сети определяются NDS. В этом разделе описываются полномочия доступа, их назначения и действие в системе.
Права доступа
Права доступа дают пользователям возможность доступа к каталогам и файлам для управления объектами:
- Полномочия на объект в NetWare Directory Services могут предусматривать право на просмотр дерева NDS, удаление объекта, его переименование, и, если это контейнер, создание объектов внутри него.
- Полномочия на каталог могут предоставлять права на просмотр, изменение и удаление файлов. Эти полномочия могут также предоставлять права на изменения атрибутов, имен, назначений полномочий и фильтра наследуемых полномочий (Inherited Rights Filter) для каталога.
- Если пользователю предоставлены на объект, каталог или файл права супервизора, то этот пользователь имеет неограниченные права на объект, каталог или файл.
Если пользователю предоставляются права супервизора (Supervisor) на контейнер, содержащий объект тома, то он имеет полномочия супервизора на все каталоги этих томов и серверов. С помощью фильтра наследуемых полномочий вы можете блокировать права супервизора объекта, но не каталога или файла.
Полномочия доступа к корневому каталогу файловой системы
Полномочия доступа к корневому каталогу каждого тома и его файлам записываются в объекте каждого тома. Они отделены от полномочий на объект и характеристик, управляющих доступом к объекту тома. При инсталляции NetWare-сервера и его томов пользователю, который инсталлирует сервер и его тома, присваиваются права супервизора на файлы и каталоги. Как и в предыдущих версиях NetWare, права доступа к файлам и каталогам супервизора не могут блокироваться фильтром наследуемых полномочий.
Пользователь, инсталлирующий сервер и тома, с помощью команды FILER или утилиты NetWare Administrator могут назначить другие полномочия для томов и каталогов.
Если пользовательский объект создан в контейнере без тома, назначение дисков поиска для каталога PUBLIC в используемом по умолчанию сценарии регистрации выполнено не будет. Вы должны создать объект пользователя с полномочиями на каталог PUBLIC и том в другом контейнере.
Иерархия пользователей
Сеть NetWare может содержать пользователей с различным типом управления и доступа. В этой главе классифицируются такие пользователи и описываются их функции в сети. Пользователи разбиваются на две основных группы:
- Супервизоры. Эта группа состоит из администраторов и супервизоров с полномочиями Supervisor или тех, кто имеет несколько ограниченных полномочий на объекты и характеристики для управления объектами NetWare Directory Services.
- Обычные пользователи. Это пользователи, которым необходим доступ к файловой системе, но которым не требуется управлять другими пользователями или объектами ресурсов, принадлежащими к данной группе. Этим пользователям предоставляются права доступа к каталогу и файлам.
Администратор сети
Программа инсталляции NetWare создает по умолчанию объект пользователя ADMIN - администратора сети. Пользователь ADMIN принадлежит к корневому каталогу и, поскольку права доступа действуют в дереве NDS, ADMIN имеет неограниченные права на все объекты в этом дереве.
При регистрации в качестве пользователя ADMIN будьте аккуратны. Вы можете случайно удалить собственные права Supervisor на объект. В этом случае, если никакой другой пользователь не имеет полномочий супервизора на этот объект, доступ к нему полностью аннулируется.
Если вы решите удалить пользовательский объект ADMIN, убедитесь, что вы создали другие пользовательские объекты и предоставили им соответствующие права, чтобы можно было управлять ветвями дерева каталога.
Пользователи
Каждый, кто регистрируется в системе, является пользователем и представляется в NetWare Directory Services объектом пользователя. Объект пользователя содержит имя пользователя, его адрес, номер телефона и другую информацию, включая ограничения регистрации, учетные данные и персональные сценарии регистрации. При создании нового пользовательского объекта вы можете задать собственный каталог пользователя, где пользователь может хранить личные программы и файлы. Пользователи должны иметь полные права на этот каталог, чтобы при необходимости создавать подкаталоги и файлы.
После создания объекта вы можете изменить его характеристики. Перечислим некоторые из них:
- ограничения регистрации;
- ограничения пароля;
- ограничения времени регистрации;
- сценарии регистрации;
- эквивалентность защиты;
- права доступа к файловой системе;
- членство в группе.
Изменение характеристик отдельных пользователей может оказаться слишком утомительным. Вместо этого вы можете создать в каждом контейнере шаблон пользователя, определяющий те характеристики, которые вы хотите присвоить каждому пользователю в контейнере. При создании нового пользовательского объекта вы можете определить, какие из шаблонных значений хотите использовать. Перечислим другие способы упрощения управления объектами пользователей:
- Включение пользователей в группу и присваивание полномочий этой группе.
- Присваивание контейнеру полномочий доступа к файловой системе. Эти полномочия будет иметь каждый объект, принадлежащий контейнеру.
- Делегирование задач управления другим пользователям путем предоставления им полномочий супервизора на отдельные ветви дереве NetWare Directory Services или файловую систему.
Супервизоры
Супервизор - это пользователь с полномочиями Supervisor на объект-контейнер в дереве NetWare Directory Services. Это означает, что пока супервизор более высокого уровня не заблокирует некоторые из этих полномочий, пользователь имеет неограниченные полномочия в этом контейнере и любой контейнерный или листовой объекты, ответвляющиеся от него. В сети может быть несколько супервизоров, каждый из которых обслуживает отдельный объект дерева каталога. Ветви представляют обычно подразделения в организациях.
Супервизору не обязательно иметь полномочия Supervisor. Предоставив им только конкретные права, вы можете создать "ограниченных супервизоров".
Если вы являетесь пользователем ADMIN и только начинаете создавать структуру дерева каталога, то первое, что нужно сделать, это создание организационных объектов для каждого подразделения или отдела (если они не были созданы при инсталляции сервера). Если вы предоставили супервизорам полномочия Supervisor, они могут сами создавать и обслуживать структуру дерева каталога в подразделениях организациях.
Предположим, например, что вы только что инсталлировали сервер MAIN_SRV в подразделении Administration, и сервер ADD_SRV в подразделении Sales. При инсталляции NetWare создает организационные контейнеры Administration и Sales. Вы можете зарегистрироваться с рабочей станции и запустить NetWare Administrator. Затем вы создаете в контейнере Administration пользовательский объект Mike, а в контейнере Sales - пользовательский объект Alex (как показано на приведенном ниже рисунке). Вы можете предоставить этим пользователям полномочия Supervisor в соответствующих контейнерах - они станут супервизорами данной ветви.
- AST_Soft
¦
+-+ Administration
¦ ¦
¦ +-- MAIN_SERV_SYS
¦ ¦
¦ +-- MAIN_SERV_VOL1
¦ ¦
¦ +-- MAIN_SERV
¦ ¦
¦ +-- MIKE
¦
+-+ Sales
¦ ¦
¦ +-- ADD_SERV_SYS
¦ ¦
¦ +-- ADD_SERV_VOL1
¦ ¦
¦ +-- ADD_SERV
¦ ¦
¦ +-- ALEX
¦
+- ADMIN
Супервизоры могут обслуживать ветви дерева NDS и управлять объектами этой ветви. Предположим, например, что пользователь MIKE создает организацию-контейнер под названием Engineer, ответвляющуюся от контейнера Administration (как показано на рисунке ниже). Затем Mike создает объект Stas, который будет супервизором нового контейнера. После предоставления объекту Stas полномочий Supervisor на контейнер Engineer он может создавать в этом контейнере новые объекты, расширяя дерево каталога и добавляя объекты-контейнеры, ответвляющиеся от Engineer. Полномочия супервизора для пользователя Stas в данном примере охватывают только контейнер Engineer, но не контейнеры высшего уровня.
- AST_Soft
¦
+-+ Administration
¦ ¦
¦ +-- MAIN_SERV_SYS
¦ ¦
¦ +-- MAIN_SERV_VOL1
¦ ¦
¦ +-- MAIN_SERV
¦ ¦
¦ +-- MIKE
¦ ¦
¦ +-+ Engineer
¦ ¦
¦ +-- Stas
¦
+-- Sales
¦
+- ADMIN
Операторы
Оператор - это пользователь, который отвечает за системные ресурсы, такие как принтер или сервер. Вы можете предоставить пользователю ограниченные права на объект ресурса, так что при необходимости он сможет изменять характеристики полей объекта. Например, объект принтера имеет поля характеристик, содержащие информацию о том, где находится принтер, его описание, очереди, список уведомления и конфигурацию. Оператор принтера должен иметь полномочия, достаточные для изменения этих полей в случае необходимости.
Операторы обычно связаны с некоторым аппаратным устройством. Они обычно указываются в списке пользователей, с которыми можно связаться в случае проблемы с устройством. Например, если на принтере кончилась бумага, пользователи принтера могут просмотреть характеристики принтера и увидеть, кто за него отвечает. Они могут послать оператору сообщение по электронной почте или позвонить по телефону.
Группы
Группы представляют собой наборы объектов. Вы можете создать группы для упрощения работы с большим числом объектов. Вместо присваивания полномочий доступа к каталогам и файлам отдельным пользователям, вы можете включить этих пользователей в группу и присвоить эти полномочия группе. Пользователь может быть членом нескольких групп. Приведем некоторые примеры и способы использования групп:
- Вы можете создать группу текстовой обработки и предоставить ей полномочия на определенную программу обработки текста или редактор, а также полномочия сохранения файлов в своих каталогах.
- Можно создать группы электронной почты (например, Sales), и пересылать сообщения электронной почты всей группе, а не отдельным членам группы.
- Группы обеспечивают удобный способ изменения или отмены полномочий для большой группы пользователей. Вы можете удалить всю группу или удалить объекты пользователей в группе. Эти пользовательские объекты все равно будут существовать, но не будут иметь полномочий группы.
Группа не является объектом контейнером. Это просто набор имен объектов пользователей.
Просмотр полномочий
Давайте ближе рассмотрим полномочия. Как вы уже видели, пользователям сети нужны права доступа на отдельные сетевые ресурсы и для работы с файлами файловой системы. Полномочий точно определяют, как пользователь может получить доступ к каталогам и файлам в файловой системе. Полномочия на характеристики каталоги, файлы и объекты показаны в следующих таблицах.
Полномочия доступа к каталогу
| Supervisor
(супервизор) | Имеет все полномочия доступа к каталогу, его файлам и подкаталогам. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий. Пользователи с такими полномочиями могут предоставлять права на каталог, его файлы и подкаталоги другим пользователям |
| Read (чтение) | Полномочия на выполнение программ в каталоге, на открытие файлов в каталоге и чтение его содержимого. |
| Write (запись) | Полномочия на открытие и изменение существующих в каталоге файлов. |
| Create (создание) | Полномочия на создание в каталоге новых файлов и подкаталогов. |
| Erase (удаление) | Полномочия на удаление каталога, его файлов и подкаталогов. |
| Modify (изменение) | Полномочия на изменение атрибутов или имен каталогов, файлов и подкаталогов, но не их содержимого. |
| File Scan (просмотр файла) | Полномочия на просмотр каталога и его файлов с помощью команд DIR и NDIR. |
| Access Control (Управление доступом) | Полномочия на изменение прав доступа и фильтра наследуемых полномочий каталога, его файлов и подкаталогов. |
Полномочия доступа к файлу
| Supervisor
(супервизор) | Имеет все полномочия доступа к файлу. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий. Пользователи с такими полномочиями могут предоставлять права на файл и изменять фильтр наследуемых полномочий файла. |
| Read (чтение) | Полномочия на открытие и чтение файла. |
| Create (создание) | Полномочия восстановление файла после его удаление. |
| Write (запись) | Полномочия на открытие и изменение существующих файлов. |
| Erase (удаление) | Полномочия на удаление файла. |
| Modify (изменение) | Полномочия на изменение атрибутов или имен файлов, но не на изменение их содержимого. |
| File Scan (просмотр файла) | Полномочия на просмотр файла с помощью команд DIR и NDIR. |
| Access Control (Управление доступом) | Полномочия на изменение прав доступа и фильтра наследуемых полномочий файла. |
Назначение прав доступа файлам и каталогам
Чтобы задать права доступа к файлу или каталогу, нужно сначала открыть содержащий этот каталог том, дважды щелкнув "мышью" на объекте тома. Выводится листинг с перечнем содержимого. Затем вы можете щелкнуть правой кнопкой "мыши" на пиктограмме каталога и выбрать Details. Выводится диалоговое окно Details (оно показано в следующем разделе).
Чтобы добавить права доступа, можно щелкнуть "мышью" на командной кнопке Add Trustee, а затем выберите из списка объект, например пользователя или группу. Обратите внимание, что группа Managers на схеме подсвечивается, и в блоке Access Rights указываются текущие полномочия. В любой момент вы можете изменить полномочия (если имеете на это право), изменив для этого параметры в диалоговом окне. (Подробнее эта процедура освещается в одной из следующих глав.)
Назначение полномочий для объектов
С помощью NetWare Administrator добавить полномочия доступа можно двумя способами:
- Простейший способ - это метод буксировки (перемещения с помощью "мыши"). Щелкнув "мышью" на объекте, которому вы хотите присвоить полномочия на другой объект, его можно отбуксировать в объект, на который он должен получить полномочия. Выводится диалоговое окно уполномоченных объектов Object Trustees, которое показано на приведенном ниже рисунке, с помощью которого вы можете задать полномочия.
- Используя второй метод, вы можете щелкнуть правой кнопкой "мыши" на самом объекте и выбрать из всплывающего меню Trustees of this Object. Затем вы должны точно задать, какой объект должен иметь доступ к данному объекту.
Предположим, вы хотите предоставить упомянутой выше группе Managers полномочия доступа на том MAIN_SERV_SYS (см. показанную ниже схему). Заметим, что тома являются объектами, а не каталогами. Вы можете отбуксировать пиктограмму группы Managers в объект тома. При этом открывается показанное ниже окно Object Trustees. В этом окне выберите соответствующие полномочия и щелкните "мышью" на OK.
- AST_Soft
¦
+-+ Administration
¦ ¦
¦ +-- MAIN_SERV_SYS
¦ ¦ ¦
¦ ¦ +-- _NETWARE
¦ ¦ ¦
¦ ¦ +-- APPS
¦ ¦ ¦
¦ ¦ +-- BIN
¦ ¦ ¦
¦ ¦ +-- DELETED.SAV
¦ ¦ ¦
¦ ¦ +-- DOCS
¦ ¦ ¦
¦ ¦ +-- ELX
¦ ¦ ¦
¦ ¦ +-- LEX
¦ ¦ ¦
¦ ¦ +-- LOGIN
¦ ¦ ¦
¦ ¦ +-- MAIL
¦ ¦ ¦
¦ ¦ +-- PUBLIC
¦ ¦ ¦
¦ ¦ +-- SYSTEM
¦ ¦ ¦
¦ ¦ +-- USERS
. .
. .
. .
Если вы используете второй метод назначения полномочий, то выводится то же показанное ниже диалоговое окно, но NetWare Administrator не знает, какому объекту нужно присвоить полномочия доступа на данный объект. Вам нужно щелкнуть "мышью" на командной кнопке Add Trustee, а затем просмотреть дерево каталога и найти объект, который должен получить полномочия.
Полномочия доступа к объекту
| Supervisor
(супервизор) | Имеет все полномочия доступа к объекту. Полномочия Supervisor не могут блокироваться фильтром (маской) наследуемых полномочий нижерасположенных объектов с полномочиями супервизора и индивидуальными характеристиками объекта. |
| Read (чтение) | Эти полномочия позволяют видеть объект в дереве каталога. При поиске объекта возвращается его имя. |
| Create (создание) | Полномочия на создание нового объекта, подчиненного данному объекту в дереве каталога. Полномочия нового объекта не определены. Эти полномочия доступны только для объектов-контейнеров, так как не контейнеры не могут иметь подчиненных объектов. |
| Delete (удаление) | Полномочия на удаление объекта из дерева каталога. Чтобы удалить объекты с подчиненными объектами, нужно сначала удалить все подчиненные объекты. |
| Rename (изменение) | Полномочия на изменение имени объекта (фактически означает изменение характеристики имени). |
При предоставлении полномочий на объекты томов нужно соблюдать аккуратность. Объект-том - это "переходная точка" между объектами NetWare Directory Services и файловой системой. Если вы предоставляете на объект тома полномочия супервизора, то объект будет также иметь эти полномочия на корневой каталог тома (и в результате на все другие его каталоги).
Полномочия доступа к характеристики
| Supervisor
(супервизор) | Имеет все полномочия на характеристику. Характеристика Supervisor может блокироватья фильтром наследуемых полномочий. |
| Compare (сравнение) | Полномочия на сравнение со значением характеристики любого значения. Операция сравнения может возвращать значение True или False, но значение характеристики вы видеть не можете. Полномочия Compare включают в себя полномочия Read. |
| Read (чтение) | Полномочия на чтение значения характеристики Подмножеством Read является Compare. Если задано Read, то разрешены также операции сравнения. |
| Write (запись) | Полномочия на добавление, изменение или удаление значения характеристики. Полномочия Write включают в себя полномочия Add Self и Manager. |
| Add Self (самомодификация) | Полномочия Add Self позволяют добавлять или удалять себя как значения характеристики. На другие значения характеристики вы влиять не можете. Эти полномочия имеют смысл только для характеристик, содержащих в качестве значений имена объектов, таких как списки членов группы и адресатов. Полномочия Write включают в себя Add Self. |
Полномочия на характеристики объектов
Каждый объект имеет набор характеристик, определяющих его имя, расположение, подразделение и другую информацию. Эти характеристики выводятся в полях диалогового окна Details объекта (см. ниже). Чтобы вывести это диалоговое окно, вы можете щелкнуть на объекте кнопкой "мыши".
Диалоговое окно Details
+---------------------------------------------------------------+
¦ = -----------------Directory:MAIN_SERV_SYS:\APPS--------------¦
¦ Trustees of this Directory +----------------+¦
¦ +------------------------------------------+¦ identification ¦¦
¦ ¦ Trustees: +----------------+¦+----------------+¦
¦ ¦+----------------------+¦Effective Rights¦¦+----------------+¦
¦ ¦¦- AST_Soft ¦+----------------+¦¦ Facts ¦¦
¦ ¦¦- Management.Administr¦+----------------+¦+----------------+¦
¦ ¦¦ ¦¦ Add Trustee...¦¦+----------------+¦
¦ ¦¦ ¦+----------------+¦¦ Trustee of the ¦¦
¦ ¦¦ ¦+----------------+¦¦ directory ¦¦
¦ ¦¦ ¦¦ Delete Trustee ¦¦+----------------+¦
¦ ¦¦ ¦+----------------+¦+----------------+¦
¦ ¦¦ ¦+----------------+¦¦ Attributes ¦¦
¦ ¦+----------------------+¦ Clear Filter ¦¦+----------------+¦
¦ ¦ +----------------+¦ ¦
¦ ¦+-Access Rights----++-Inheritence Filter-¬¦ ¦
¦ ¦¦* Supervisor ¦¦X Supervisor ¦¦ ¦
¦ ¦¦* Read ¦¦П Read ¦¦ ¦
¦ ¦¦o Write ¦¦П Write ¦¦ ¦
¦ ¦¦o Create ¦¦П Create ¦¦ ¦
¦ ¦¦o Erase ¦¦П Erase ¦¦ ¦
¦ ¦¦o Modify ¦¦П Modify ¦¦ ¦
¦ ¦¦* File Scan ¦¦П File Scan ¦¦ ¦
¦ ¦¦o Access Control ¦¦П Access Control ¦¦ ¦
¦ ¦+------------------++--------------------+¦ ¦
¦ +------------------------------------------+------------------+
¦ +----------++----------++----------+ ¦
¦ ¦ OK ¦¦ Cancel ¦¦ Help ¦ ¦
¦ +----------++----------++----------+ ¦
+---------------------------------------------------------------+
Можно также управлять тем, какие из пользователей могут просматривать и изменять эти поля, для чего используется диалоговое окно Object Trustee. Обратите внимание на поле Property Rights диалогового окна Object Trustees (см. рисунок), где выбрано All Properties (Все характеристики). Если вы щелкните "мышью" на командной кнопке Selected Properties этого диалогового окна, то сможете изменить права отдельных объектов на индивидуальные характеристики текущего объекта. Все перечисленные в окне характеристики представляют собой имена полей, с которыми вы можете работать в диалоговом окне Details. Например, вы можете отменить полномочие Read на поле Telephone, так что пользователь, имеющий полномочия на данный объекте, не будет видеть номера телефона. Вы можете также предоставить пользователям в подразделении Administration полномочие Write на поле Telephone, так что они смогут изменять это поле.
Диалоговое окно Object Trustee (Поля Properties Rights и Object Trustees управляют доступом к окну Details)
+---------------------------------------------------------------+
¦ = --Object.Trustee.Volume:MAIN_SERV_SYWS:Servers.Admistration-¦
¦ +------------------------------------------++----------------+¦
¦ ¦ Trustees: ¦¦Effective Rights¦¦
¦ ¦+----------------------------------------+¦+----------------+¦
¦ ¦¦- Admin.AST__Soft ¦¦+----------------+¦
¦ ¦¦- Manager.Administration.Moscow.AST_Soft¦¦¦ Add Trustee...¦¦
¦ ¦¦- Mike.Administration.Moscow.AST_Soft ¦¦+----------------+¦
¦ ¦¦ ¦¦+----------------+¦
¦ ¦¦<-------------------------------------->¦¦¦ Delete Trustee ¦¦
¦ ¦+----------------------------------------+¦+----------------+¦
¦ ¦ ¦+----------------+¦
¦ ¦ ¦¦ Attributes ¦¦
¦ +------------------------------------------++----------------+¦
¦ ¦+-Object Rights----++-Property Rights-----------------------+¦
¦ ¦¦x Supervisor ¦¦* Alls Properties x Supervisor ¦¦
¦ ¦¦x Browse ¦¦o Selected Properties x Compare ¦¦
¦ ¦¦o Create ¦¦+--------------------+x Read ¦¦
¦ ¦¦o Delete ¦¦¦ ^¦ ¦¦
¦ ¦¦o Rename ¦¦¦ -¦ ¦¦
¦ ¦¦ +----------+ ¦¦¦ v¦ +----------+ ¦¦
¦ ¦¦ ¦ Clear ¦ ¦¦¦<-----------------> ¦ ¦ Clear ¦ ¦¦
¦ ¦¦ +----------+ ¦¦+--------------------- +----------+ ¦¦
¦ ¦+------------------++---------------------------------------+¦
¦ +-------------------------------------------------------------+
¦ +----------++----------++-----------------------++----------+ ¦
¦ ¦ OK ¦¦ Cancel ¦¦Inherited Rights Filter¦¦ Help ¦ ¦
¦ +----------++----------++-----------------------++----------+ ¦
+---------------------------------------------------------------+
По умолчанию все пользователи могут просматривать характеристики объектов, но не могут их изменять. Однако пользователи могут изменять сценарий регистрации собственного пользовательского объекта.
Диалоговое окно Details (см. рисунок) - это многостраничное диалоговое окно. Командные кнопки справа открывают другие страницы и выводят различные характеристики. Данная первая страница содержит базовую информацию об объекте, в данном случае объекте пользователя. Обратите внимание на имена других страниц информации, такие как Login Restrictions и Login Script. Обычно другие пользователи сети могут просматривать для объекта диалоговое окно Details, но, если им не предоставлены на это конкретные полномочия, изменять поля они не могут. Супервизор обычно имеет полные полномочия на просмотр и изменение всех характеристик объектов. Чтобы легче было обновлять информацию, вы можете добавить уполномоченных операторов с ограниченными правами на изменение полей. Чтобы предоставить эти конкретные полномочия, вы можете щелкнуть "мышью" на Selected Properties и выбрать характеристики для изменения, например, выбрать из списка Telephone и затем щелкнуть "мышью" на Read и Write.
Диалоговое окно Detals для объекта пользователя
+---------------------------------------------------------------+
¦ = ---------------------User:Mike------------------------------¦
¦ Identification ¦
¦ +------------------------------------------++----------------+¦
¦ ¦ Login Name: Mike ¦¦ identification ¦¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ Last Name: ¦Mike ¦¦¦..¦¦+----------------+¦
¦ ¦ +-------------------+--+--+¦¦ Enviroment ¦¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ Other Names: ¦Michael Jackson ¦¦¦..¦¦+----------------+¦
¦ ¦ +-------------------+--+--+¦¦ Login ¦¦
¦ ¦ +-------------------+-+---+¦¦ Restriction ¦¦
¦ ¦ Title: ¦Supervisor of Admin¦¦¦..¦¦+----------------+¦
¦ ¦ +-------------------+--+--+¦+----------------+¦
¦ ¦ +-----------------------+-+¦¦ Password ¦¦
¦ ¦ Description: ¦ ¦^¦¦¦ Restriction ¦¦
¦ ¦ ¦ ¦v¦¦+----------------+¦
¦ ¦ +-----------------------+-+¦+----------------+¦
¦ ¦ +-------------------+-+---+¦¦ Login Time ¦¦
¦ ¦ Location: ¦Moscow Division ¦¦¦..¦¦¦ Restriction ¦¦
¦ ¦ +-------------------+--+--+¦+----------------+¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ Departmant: ¦Administration ¦¦¦..¦¦¦ Login Script ¦¦
¦ ¦ +-------------------+--+--+¦+----------------+¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ Telephone: ¦829-1152-0582 ¦¦¦..¦¦¦Intruder Lockout¦¦
¦ ¦ +-------------------+--+--+¦+----------------+¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ Fax Number: ¦829-1152-0544 ¦¦¦..¦¦¦ Rights to the ¦¦
¦ ¦ +-------------------+--+--+¦¦ File System ¦¦
¦ ¦ +-------------------+-+---+¦+----------------+¦
¦ ¦ EMail Address:¦75570.3321 ¦¦¦..¦¦+----------------+¦
¦ ¦ +-------------------+--+--+¦¦ Group ¦¦
¦ ¦ ¦¦ Membership ¦¦
¦ ¦ ¦+----------------+¦
¦ +------------------------------------------+------------------+
¦ +----------++----------++----------+ ¦
¦ ¦ OK ¦¦ Cancel ¦¦ Help ¦ ¦
¦ +----------++----------++----------+ ¦
+---------------------------------------------------------------+
Наследование
Возможно, наиболее важным принципом в объектах NetWare и защите файловой системы является действие полномочий сверху вниз. Проще всего это понять на примере файловой системы. Если пользователь имеет на каталог полномочия Read, Write и Create, то он будет иметь те же полномочия на подкаталоги (если они не изменены явным образом). Эти полномочия передаются вниз по структуре каталога. Когда супервизор явным образом изменяет полномочия, это означает, что он блокирует наследование полномочий на подкаталог для всех пользователей, группы пользователей или одного пользователя.
Тот же принцип применяется к объектам. Если пользователь имеет полномочия на объект-контейнер, то этот пользователь имеет те же полномочия на любой контейнер и объекты-листья, принадлежащие данному объекту-контейнеру. Например, если контейнер содержит объект принтера, и пользователь имеет полномочия на контейнер, то те же полномочия пользователь имеет на принтер. Полномочия продолжают действовать сверху-вниз через все контейнеры, пока они не блокируются.
Аналогичным образом пользователь, принадлежащий контейнеру, получает все полномочия этого контейнера. Поясним это на примере. Предположим, фирма имеет структуру, показанную на следующем рисунке:
- AST_Soft
¦
+-+ Moscow
¦ ¦
¦ +--Administration
¦ ¦
¦ +-- Marketing
¦ ¦
¦ +-- Sales
¦
+-+ Novgorod
¦ ¦
¦ +-+ Sales
¦ ¦
¦ +-- ADD_SERV_SYS
¦ ¦
¦ +-- ADD_SERV_VOL1
¦ ¦
¦ +-- ADD_SERV
¦
+- ADMIN
Объекту с именем Mike в отделе продаж (Sales) московского подразделения (Moscow) требуется доступ к каталогу DAT на томе SYS сервера ADD_SERV новгородского отдела продаж (Novgorod). Чтобы предоставить пользователю Mike полномочия на каталог DAT, вы можете выбрать каталог и создать назначения полномочий, которые могут быть следующими:
- Можно предоставить пользователю Mike полномочия на каталоге DAT.
- Предоставить полномочия на каталог DAT контейнеру Sales в подразделении Moscow. Поскольку объект Mike является листом контейнера Sales, он получает те же полномочия путем наследования. Все другие объекты в контейнере Sales также получают эти полномочия.
- Предоставить полномочия на каталог DAT контейнеру Moscow. Тогда эти права получит каждый объект, принадлежащий Moscow.
- Предоставить полномочия на каталог DAT контейнеру AST_Soft. Тогда эти права получит каждый объект в дереве каталога (хотя это и не практично).
Это демонстрирует, как действуют полномочия в структуре каталога. Назначая полномочия контейнерам, находящимся выше в дереве каталога, вы увеличиваете число объектов, которым предоставляются полномочия. Присваивание полномочий объектам-контейнерам может упростить вашу задачу, но здесь следует соблюдать аккуратность. Возможно, не стоит предоставлять эти полномочия некоторым объектам в контейнерах. Лучше создать группы пользователей и назначать полномочия группам.
Если в объекте-контейнере, который содержит том SYS, вы создаете новый пользовательский объект, то этот пользователь имеет возможность выводить список файлов и выполнять программы в каталоге PUBLIC. Это связано с тем, что объект-контейнер, содержащий том SYS, автоматически имеет полномочия Read и File Scan на каталог PUBLIC.
Фильтры наследуемых полномочий
Теперь обсудим, как можно предотвратить безконтрольное наследование полномочий. Для блокирования обычной передачи полномочий вниз по дереву каталога используется фильтр (маска) наследуемых полномочий IFR (Inherited Rights Filter). В общем случае, если пользователь имеет на каталог полномочия Read, Write, Create и File Scan, то он имеет эти полномочия и на подкаталоги данного каталога. Однако некоторые из этих полномочий можно заблокировать с помощью IFR (или присвоить для подкаталогов новые полномочия). Например, вы можете блокировать полномочия Write и Create, предотвратив создание и модификацию пользователем файлов в подкаталоге.
Наиболее важным в фильтрах IFR является то, что они принадлежат объекту NetWare Directory Services или каталогу файловой системы и могут применяться ко всем пользователям, которые имеют доступ к объекту или каталогу.
IFR изменяет характер наследования полномочий доступа вниз по структуре каталога и дереву NDS. Вы можете использовать IFR там, где механизм наследования полномочий достаточен, но требуются небольшие изменения. Отметим следующее:
- Если IFR находится в объекте-контейнере, полномочия блокируются для этого объекта-контейнера и всего, что в нем находится. IFR объекта-контейнера блокирует полномочия объектов-листьев контейнера.
- Каждый объект в каталоге имеет собственный фильтр наследуемых полномочий.
- IFR или новое назначение полномочий не может блокировать полномочия Supervisor на каталоги. Эти полномочия наследуются всеми подкаталогами и всеми файлами. Однако IFR может блокировать супервизорные полномочия объекта.
Биты в фильтре полномочий определяются следующим образом:
+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+
¦ 15¦ 14¦ 13¦ 12¦ 11¦ 10¦ 9 ¦ 8 ¦ 7 ¦ 6 ¦ 5 ¦ 4 ¦ 3 ¦ 2 ¦ 1 ¦ 0 ¦
+---+---+---+---+---+---+---+--++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
Супервизор<- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
(предоставляются все права) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
Модификация<---- ¦ ¦ ¦ ¦ ¦ ¦ ¦
(могут модифицироваться ¦ ¦ ¦ ¦ ¦ ¦ ¦
атрибуты файлов) ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦
Наблюдение файла<-------- ¦ ¦ ¦ ¦ ¦ ¦
(файл можно видеть при ¦ ¦ ¦ ¦ ¦ ¦
просмотре каталога) ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦
Управление доступом<------------ ¦ ¦ ¦ ¦ ¦
(могут изменяться полномочия ¦ ¦ ¦ ¦ ¦
доступа) ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦
Удаление<---------------- ¦ ¦ ¦ ¦
(файл можно удалить) ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦
Создание<-------------------- ¦ ¦ ¦
(файл можно создать) ¦ ¦ ¦
¦ ¦ ¦
Зарезервирован<------------------------ ¦ ¦
¦ ¦
Запись<---------------------------- ¦
(допускается запись файлов) ¦
¦
Чтение<--------------------------------
(допускается чтение файлов)
Действующие полномочия
Фактические полномочия, которые имеет пользователь на каталог или объект, зависят от следующего:
- назначений прав доступа объекта к каталогу или файлу;
- полномочий, наследуемых из родительских каталогов;
- полномочий, предоставляемый группе, в которую входит пользователь;
- эквивалентов защиты (о которых рассказывается в следующем разделе).
Все это в совокупности образует действующие полномочия. Чтобы пояснить, как изменяются действующие полномочия, давайте рассмотрим пример. Предположим, создан новый каталог с именем ACCNT, и объект пользователя Bob имеет полномочия Read, Write, Create и File Scan на этот каталог (RWCF). Так как полномочия действуют сверху вниз, Bob имеет также полномочия Read, Write, Create и File Scan на подкаталог DATA этого каталога.
Предположим теперь, что супервизор пользователя Bob создает в DATA подкаталог REPORTS и применяет к нему фильтр наследуемых полномочий, который блокирует полномочия Write и Create. Действующие полномочия пользователя Bob в каталоге REPORTS показаны в столбце C на приведенном ниже рисунке. Наконец, супервизор создает для пользователя Bob специальный каталог данных с именем REVIEW с полномочиями Read, Write, Create и File Scan (как показано в столбце D). Специальные назначения полномочий переопределяют фильтр IRF.
A B C D
+------+ +------+ +------+ +------+
¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ ACCNT
+------+ +------+ +------+ +------+
+------+ +------+ -------+
¦ RWCF ¦ ¦ RWCF ¦ ¦ RWCF ¦ DATA
+------+ +------+ +------+
+---------------+
¦ RWCF RWCF ¦ Фильтр наследуемых
¦ xx xx ¦ полномочий
+---------------+
+------+ +------+
¦ RF ¦ ¦ RF ¦ REPORTS
+------+ +------+
+------+
¦ RWCF ¦ REVIEW
+------+
Эквиваленты защиты
Вы можете присвоить пользовательским объектам эквивалентную (другим объектам) защиту. Это означает, что они получают все ограничения регистрации, ограничения рабочей станции и полномочия доступа объектов, которым они приравниваются по защите. Например, если пользователь Alex, супервизор ветви дерева каталога, уходит в отпуск, вы можете создать другой пользовательский объект, эквивалентный по защите объекту Alex. Эквивалентный по защите пользователь будет иметь те же полномочия даже на частный каталог пользователя Alex, поэтому этим средством нужно пользоваться аккуратно. Эквиваленты защиты могут упростить задачи администрирования, но убедитесь, что вы не предоставляете с их помощью излишних полномочий.
Эквиваленты защиты можно назначать с помощью команды Sequirity Equivalences в диалоговом окне Details. Уполномоченный пользовательский объект может добавить к списку эквивалентов защиты другие пользовательские объекты. Для этого он должен иметь полномочия Write на характеристику Security Equivalence объекта.
Не предоставляйте пользователям полномочий на изменения собственной характеристики эквивалентности защиты. Они могут добавить объект с характеристиками Supervisor и таким образом получить к тем областям сети, доступ к которым они иметь не должны. Используя фильтр наследуемых полномочий, вы можете даже пойти еще дальше и блокировать полномочие Write на поле Security Equivalence.
Специальные объекты и шаблоны
Специальные объекты и шаблоны могут помочь вам управлять объектами и полномочиями дерева NDS:
- Организационный ролевой объект. Этот объект определяет позицию или роль в организации. Используйте организационный ролевой объект для задания должностей, которые могут занимать люди в организации (например, "начальник отдела" или "вице-президент"). Таким образом, если пользователь будет играть другую роль, вам не нужно переприсваивать полномочия для нового пользователя. Вместо этого вы можете сделать его членом организационного ролевого объекта.
- Профильные объекты. Профильный файл вы можете использовать для создания сценариев регистрации для пользователей в различных ветвях дерева каталога. Обычно контейнер организационного подразделения, к которому принадлежит пользователь, имеет сценарий регистрации, выполняемый для каждого пользователя в этом контейнере. Хотя пользователи могут также иметь персональные сценарии регистрации, вы можете создать сценарии регистрации, которые действуют в сети, а не ограничиваются контейнером. Например, вы можете создать профильный файл для административного персонала компании, выводящий сообщения о предстоящих событиях всем пользователям, независимо от того, к какому подразделению (контейнеру) они относятся.
- Объекты-псевдонимы. Объекты-псевдонимы указывают на объект в другом контейнере. Например, если пользователи одного подразделения печатают на принтере другого подразделения, можно создать для этого принтера с соответствующей ветви каталога объект-псевдоним. Это упрощает ссылку на данный объект. Объекты-псевдонимы полезны также для администраторов, присваивающих полномочия.
Правила защиты
В данном разделе кратко описываются полномочия доступа NetWare Directory Services и файловой системы NetWare.
- Объекты-контейнеры могут содержать другие объекты-контейнеры и объекты-листья. Полномочия, если они не блокируются новым назначением полномочий или фильтром наследуемых полномочий, передаются по этим структурам сверху вниз.
- Когда фильтр наследуемых полномочий изменяет полномочия контейнера или файловой системы, новый набор полномочий действует для всех объектов, расположенных ниже этой точки.
- Для изменения полномочий на файл или каталог необходимы права Access Control (управление доступом) или фильтр IFR.
- Полномочия Supervisor предоставляют пользователю неограниченные права на каталоги файловой системы и объекты.
- Можно отменить все полномочия пользователя на объект (даже если это пользователь ADMIN), поэтому будьте аккуратны. Никогда не следует отменять полномочия Supervisor пользователя, если другому пользователю не предоставлены на данный объект полномочия Supervisor, иначе это может полностью аннулировать возможность управления объектом.
- Полномочия на файловую систему предоставляются отдельно от полномочий на объекты NDS. Вы можете предоставить пользователю права на каталог, не предоставляя ему полномочий на том, сервер или объект-контейнер, который этот каталог содержит. Однако пользователи, которые имеют на том права Supervisor, имеют права супервизора на все каталоги данного тома.
- Пользователь, имеющий полномочия на объект, в зависимости от предоставленных ему прав, может изменить или удалить этот объект и создать внутри него другие объекты.
- Объект содержит специальную информацию о том, что он представляет, - характеристики. Характеристики могут просматриваться и изменяться другими пользователями (в зависимости от прав на характеристики объекта).
- Полномочия на характеристики объекта могут быть полными или конкретными. Если предоставлены полномочия на все характеристики (All Properties), то пользователь имеет полномочия на все характеристики, на которые не предоставлены полномочия Selected Property. Если полномочия Selected Property предоставлены на одну или более характеристик, то эти полномочия переопределяют полномочия на характеристики, предоставленные правами All Properties.
- Полномочия Selected Property (выбранная характеристика) в контейнере не передаются вниз по структуре другим объектам. Причина этого очевидна - объекты в других объектах обычно имеют другой тип объекта и другие характеристики.
- Чтобы изменить полномочия и характеристики объекта, требуется право доступа Write.
- В дереве каталога NDS полномочия передаются вниз в объекты тома, так что супервизор имеет полномочия Supervisor на каталоги и файлы.
- Наследуемые полномочия могут переопределяться путем назначения на более низких уровнях дерева NDS или дерева файловой системы новых полномочий.
- Полномочия супервизора не могут блокироваться в файловой системе, но могут блокироваться в дереве каталога NDS.
- Пользователь с полномочиями на контейнер имеет те же полномочия на каждый объект контейнера, включая содержащиеся в контейнере другие контейнеры. Однако фильтр наследуемых полномочий может эти полномочия блокировать.
- Объекты-листья в контейнере получают все назначения полномочий, которые предоставлены контейнеру. Если контейнер имеет полномочия на каталог, то объекты-листья в данном контейнере также будут иметь полномочия на этот каталог.
- Чтобы предоставить пользователю непосредственный доступ к сети, назначьте ему защиту, эквивалентную пользователю, имеющему необходимый доступ к системе. Имейте в виду, что этот новый пользователь может просматривать все каталоги, принадлежащие пользователю, которому он приравнивается.
- Создайте в контейнерах шаблоны и перед созданием новых пользователей присвойте им заданные по умолчанию полномочия и ограничения. После этого все создаваемые в контейнере объекты получают полномочия и права на характеристики заданного пользовательского шаблона.