Операционная система NetWare

       

Определение эффективных прав пользователей по отношению к каталогам и файлам


Права, которые могут быть предоставлены пользователю (или группе пользователей) по отношению к каталогу или файлу, перечислены в таблице 2.16.

Права и фильтры (маски) наследуемых прав назначаются администратором сети с помощью утилит NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В NetWare предлагается механизм наследования прав. Прежде всего введём некоторые определения.

  • Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями.

  • Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).

  • Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.

  • Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.

    Таблица 2.16. Список возможных прав по отношению к каталогу или файлу

    ПравоОбозначениеОписание

    SupervisorSПредоставляет все права по отношению к каталогу или файлу, включая возможность назначения этого права другим пользователям. Не блокируется фильтром наследуемых прав IRF. Это право не может быть удалено ниже по дереву каталогов.

    ReadRЧтение существующего файла (просмотр содержимого текстового файла, просмотр записей в файле базы данных и т. д.).

    WriteWЗапись в существующий файл (добавление, удаление частей текста, редактирование записей базы данных).

    CreateCСоздание в каталоге новых файлов (и запись в них) и подкаталогов.
    На уровне файла позволяет восстанавливать файл, если он был ошибочно удалён.

    EraseEУдаление существующих файлов и каталогов.



    ModifyMИзменение имён и атрибутов (файлов и каталогов), но не содержимого файлов.

    File ScanFПросмотр в каталоге имён файлов и подкаталогов.
    По отношению к файлу - возможность видеть структуру каталогов от корневого уровня до этого файла (путь доступа).

    Access
    Control
    AВозможность предоставлять другим пользователям все права, кроме Supervisor. Возможность изменять фильтр наследуемых прав IRF.

    <
    На рисунке 2. 56 представлена схема формирования операционной системой NetWare эффективных прав пользователя к файлу или каталогу. Здесь предполагается, что пользователь является участником групп 1 и 2.

    Важно подчеркнуть, что к этим эффективным правам добавляются эффективные права тех пользователей, которые указаны в списке Security Equal To (эквивалентны по защите). На рисунке 2.56 символами '+' и '&' обозначены логические операции ИЛИ и И.

    Рассмотрим пример, иллюстрирующий приведённую выше схему. Предположим, что пользователь John работает с каталогами D1, D2, D3 и файлом F1:

    FS/VOL: D1\D2\D3\F1

    и не является участником групп.



    Рис. 2.56. Схема определения операционной системой NetWare

    эффективных прав пользователя по отношению к файлу или каталогу

    В таблице 2.17 показаны изменения эффективных прав пользователя John по отношению к указанным каталогам и файлу.

    Таблица 2.17. Изменение эффективных прав пользователя

    Права и фильтрыПримечания

    Корень тома FS/VOL:

    1. Наследуемые права-

    2. IRFSRWCEMFA

    3. Опекунские права для John-

    4. Права пользователей из списка Security Equal To-

    5. Эффективные права-

    Каталог D1

    1. Наследуемые права-

    2. IRFSRWCEMFA

    3. Опекунские права для JohnRW F

    4. Права пользователей из списка Security Equal To-

    5. Эффективные праваRW FСм. вторую ветвь на рисунке 2.56

    Каталог D2

    1. Наследуемые праваRW F

    2. IRF SR CEMFA

    3. Опекунские права для John-

    4. Права пользователей из списка Security Equal ToA

    5. Эффективные праваR FAСм. четвёртую ветвь на рисунке 2.56 + права от пользователей, эквивалентных по защите

    Каталог D3

    1. Наследуемые праваR FA

    2. IRF S WCEM

    3. Опекунские права для John S

    4. Права пользователей из списка Security Equal ToA

    5. Эффективные праваSRWCEMFAСм. первую ветвь на рисунке 2.56

    Файл F1

    1. Наследуемые права SRWCEMFA

    2. IRFS FA

    3. Опекунские права для JohnWC

    4. Права пользователей из списка Security Equal ToA

    5. Эффективные праваSRWCEMFAСм. первую ветвь на рисунке 2.56 (право S не маскируется)

    <


    Атрибуты каталогов и файлов

    Атрибуты файла (каталога) устанавливаются администратором сети с помощью утилиты (например, FLAG) и управляют доступом к этому файлу или каталогу.

    Атрибуты файлов и каталогов перечислены в таблице 2.18.

    Таблица 2.18. Атрибуты файлов и каталогов NetWare

    АтрибутОбозначениеОписание

    Атрибуты NetWare 3.х и 4.х

    Delete InhibitD или Di Запрещает пользователю удалять файл или каталог.

    HiddenHДелает файл или каталог невидимым для команды DIR и предотвращает его копирование и удаление. Однако команда NDIR позволяет его увидеть, если пользователь обладает правом File Scan для каталога.

    PurgePУказывает ОС физически затирать файл или каталог при его удалении (delete). После этого файл или каталог нельзя восстановить.

    Rename InhibitR или RiЗапрещает пользователю переименовывать файл или каталог.

    SystemSyУстанавливается для файлов или каталогов, используемых только ОС (далее см. атрибут H).

    NormalNОпция утилиты FLAG, позволяющая сбросить все атрибуты.

    AllAllОпция утилиты FLAG, позволяющая установить все атрибуты.

    Только для файлов

    Archive NeededAАвтоматически устанавливается для файлов, которые были модифицированы, но не архивировались.

    Copy InhibitC или CiЗапрещает копировать файл (только для ОС Macintosh).

    Execute OnlyXЗащищает файл от копирования. Устанавливается для файлов *.EXE и *.COM. Только пользователь с правами Supervisor может установить этот атрибут. Этот атрибут не может быть снят даже пользователем с правами Supervisor. Файл с этим атрибутом можно только удалить.

    ShareableS или ShПозволяет нескольким пользователям одновременно получать доступ к файлу (обычно используется с Ro).

    TransactionalTПоказывает, что TTS ведёт неявные транзакции для этого файла.

    Атрибуты только для NetWare 4.х

    Don't MigrateDmЗапрещает миграцию (перемещение) файла или каталога на магнитооптическое устройство.

    Immediate CompressIcДля файла - файл будет сжат как только процессор освободится .
    Для каталога - файлы сжимаются после их изменения или при копировании файлов в каталог.

    Don't CompressDcЗапретить системе сжимать файл или каталог.

    Флаги статуса файла

    CompressedCoПоказывает, что файл сжат.

    Can't CompressCcПоказывает, что файл не может быть сжат.

    MigratedMФайл был перезаписан на магнитооптический диск.

    <


    Права доступа к объектам NDS и их свойствам

    Ранее уже отмечалось, что системная база данных сетевых ресурсов (СБДСР) представляет собой совокупность объектов, их свойств и значений этих свойств. В NetWare 4.х эта база данных называется NDS (NetWare Directory Services), а в NetWare 3.х - Bindery. Отличия NDS от Bindery описаны в отдельном разделе, который посвящён глобальному сетевому каталогу (NDS).

    Объекты NDS связаны между собой в иерархическую структуру, которую часто называют деревом NDS. На верхних уровнях дерева (ближе к корню [Root]) описываются логические ресурсы, которые принято называть контейнерными объектами. На самом нижнем (листьевом) уровне располагаются описания физических ресурсов, которые называют оконечными объектами.

    В качестве контейнерных объектов используются объекты типа [Root] (корень), C (страна), O (организация), OU (организационная единица). Оконечные объекты - это User (пользователь), Group (группа), NetWare Server (сервер NetWare), Volume (том файлового сервера), Directories (директория тома) и т. д. Оконечные объекты имеют единое обозначение - CN.

    В NetWare 4.х разработан механизм защиты дерева NDS. Этот механизм очень похож на механизм защиты файловой системы, который был рассмотрен ранее. Чтобы облегчить понимание этого механизма, оконечный объект можно интерпретировать как файл, а контейнерный объект - как каталог, в котором могут быть созданы другие контейнерные объекты (как бы подкаталоги) и оконечные объекты (как бы файлы). На рисунке 2.57 представлена схема дерева NDS.

    Здесь символами [Root], C, O, OU обозначены контейнерные объекты, а символами CN - оконечные объекты.

    В отличие от файловой системы здесь права по отношению к какому-либо объекту можно предоставить любому контейнерному или оконечному объекту дерева NDS. В частности допустимо рекурсивное назначение прав объекта по отношению к этому же объекту.



    Рис. 2.57. Схема дерева NDS

    Права, которые могут быть предоставлены объекту по отношению к другому или тому же самому объекту, перечислены в таблице 2.19.



    Таблица 2.19. Список возможных прав по отношению к объекту

    ПравоОбозначениеОписание

    SupervisorSГарантирует все привилегии по отношению к объекту и его свойствам. В отличие от файловой системы это право может быть блокировано фильтром наследуемых прав IRF, который может быть назначен для каждого объекта.

    BrowseBОбеспечивает просмотр объекта в дереве NDS.

    CreateCЭто право может быть назначено только по отношению к контейнерному объекту (контейнеру). Позволяет создавать объекты в данном и во всех дочерних контейнерах.

    DeleteDПозволяет удалять объект из дерева NDS.

    RenameRПозволяет изменять имя объекта.

    Администратор сети может для каждого объекта в дереве NDS определить значения свойств этого объекта. Для объекта User - это имя Login, требования к паролю, пароль пользователя, пользовательский сценарий подключения и т. д. Механизм защиты NDS предоставляет также возможность назначать права по отношению к свойствам любого объекта (таблица 2.20).

    Права по отношению к свойствам могут быть назначены

  • сразу для всех свойств объекта (All Properties),

  • для выбранного свойства (Selected Properties).

    Во втором случае права для выбранного свойства замещают права, назначенные через опцию All Properties. Следует также отметить, что права для выбранного свойства (Selected Properties) не наследуются, а права для всех свойств объекта (All Properties) наследуются.

    Права и фильтры наследуемых прав назначаются администратором с помощью утилит NetWare 4.х (NWADMIN или NETADMIN). Но назначение прав объектов по отношению ко всем требуемым объектам и свойствам - это утомительная задача. Предлагаемый в NetWare 4.х механизм наследования прав в дереве NDS напоминает механизм наследования прав в файловой системе.

    Таблица 2.20. Список возможных прав по отношению к свойству объекта

    ПраваОбозначениеОписание

    SupervisorSГарантирует все привилегии по отношению к свойству объекта. Это право может быть блокировано фильтром наследуемых прав IRF, который может быть назначен для свойства. Фильтры IRF назначаются для объекта и его свойства отдельно.

    CompareCПозволяет при поиске объекта (например, с помощью утилиты NLIST) сравнивать значение свойства с любой константой. Однако это право не обеспечивает чтения значения свойства. После операции сравнения возвращается результат: True или False.

    ReadRПозволяет читать значение свойства из базы данных NDS. Право Read включает право Compare.

    WriteWПозволяет добавлять, изменять или удалять значение свойства. Право Write включает право Add Self.

    Add SelfAПозволяет опекуну (User) добавлять или удалять самого себя как значение свойства. Это право имеет смысл только для свойств, которые содержат имена пользователей в качестве значений, например, для свойства Members (участники) объекта Group (группа).

    <




    Рис. 2.58. Схема определения операционной системой NetWare эффективных

    прав объекта А по отношению к объекту Б (или его свойствам)

    Определения опекуна (Trustees), фильтра наследуемых прав (IRF), наследуемых прав, эффективных прав совпадают с соответствующими определениями для файловой системы. Только понятия файл, каталог, пользователь (группа пользователей) следует заменить соответственно на оконечный объект, контейнерный объект, произвольный объект. Ниже приведены эти определения.

  • Опекун (Trustees) - это объект, которому администратор с помощью утилиты (например, NWADMIN) явно назначает права к какому-либо объекту (или его свойствам). Такие права называются опекунскими назначениями.

  • Фильтр наследуемых прав (IRF - Inherited Right Filter) - это характеристика объекта (или его свойств), определяющая, какие права данный объект (или его свойства) может унаследовать от родительского контейнерного объекта. Фильтр назначается администратором с помощью утилиты (например, NWADMIN).

  • Наследуемые права - права, передаваемые (распространяемые) от родительского контейнерного объекта.

  • Эффективные права - права, которыми пользователь реально обладает по отношению к другому или тому же самому объекту (или его свойствам).

    На рисунке 2.58 представлена схема формирования операционной системой NetWare эффективных прав объекта А по отношению к какому-либо объекту Б (или его свойствам).

    Здесь предполагается, что объект А является участником групп 1 и 2. Ясно, что группы следует учитывать только в том случае, если объект А - это объект типа User (пользователь).

    Если объект А является пользователем, то к его эффективным правам добавляются эффективные права тех объектов, которые указаны в свойстве Security Equal To этого пользователя.

    На рисунке 2.58 символами '+' и '&' обозначены логические операции ИЛИ и И.

    Рассмотрим пример, иллюстрирующий эту схему. Предположим, что администратор сети Admin создал дерево NDS, представленное на рисунке 2.59.



    Рис. 2.59. Дерево NDS, которое создаёт администратор Admin



    В таблице 2. 21 показаны изменения эффективных прав для пользователей Admin и User по отношению к указанным в таблице объектам. Также предполагается, что эти пользователи имеют пустые списки Security Equal To.

    Этот пример иллюстрирует, как администратор Admin может потерять управление контейнерным объектом OU=CLASS. Это может произойти в том случае, если Admin назначает пользователя User опекуном объекта OU=CLASS с правами [SBCDR]. Пользователь User может сбросить все признаки в фильтре наследуемых прав IRF объекта OU=CLASS. Т. к. право [S] и все остальные права маскируются, то в этом случае Admin не только потеряет управление объектом OU=CLASS, но он даже не сможет увидеть объект в дереве NDS.

    Отметим, что после инсталляции файлового сервера

  • пользователь Admin автоматически получает права [SBCDR] по отношению к объекту [Root],

  • фиктивный опекун [Public] автоматически получает право [B] по отношению к объекту [Root]; это означает, что любой пользователь, который подключается к сети, ещё до Login видит все объекты дерева NDS (право [B] наследуется от [Root] всеми объектами).

    Таблица 2.21. Примеры изменения эффективных прав пользователей

    Admin и User по отношению к объектам

    AdminUser

    Контейнер [Root]

    Наследуемые права--

    IRFSBCDRSBCDR

    Опекунские назначенияSBCDR-

    Эффективные праваSBCDR-

    Контейнер MSTU

    Наследуемые праваSBCDR-

    IRFSBCDRSBCDR

    Опекунские назначения--

    Эффективные праваSBCDR-

    Контейнер CLASS

    Наследуемые праваSBCDR-

    IRF--

    Опекунские назначения-SBCDR

    Эффективные права-SBCDR

    Оконечный объект User

    Наследуемые права-SBCDR

    IRFSBCDRSBCDR

    Опекунские назначения--

    Эффективные права-SBCDR

    Санкционирование доступа к консоли файлового сервера

    Доступ к консоли файлового сервера можно осуществить посредством

  • основной консоли,

  • удалённой консоли (т. е. с рабочей станции).

    Администратор может защитить основную консоль, используя пункт меню "Lock File Server Console" утилиты MONITOR.NLM. После ввода произвольного пароля доступ к консоли (основной и удалённой) блокируется, и администратор может оставить консоль без присмотра.


    Чтобы разблокировать консоль, администратор должен ввести либо ранее указанный пароль, либо пароль Admin.

    Для создания удалённой консоли необходимо с основной консоли ввести следующие команды:

    LOAD REMOTE <произвольный_пароль>

    LOAD RSPX

    Эти команды можно поместить в конфигурационный файл AUTOEXEC.NCF.

    Затем на рабочей станции, где необходимо создать удалённую консоль, следует запустить утилиту SYS:SYSTEM\RCONSOLE.EXE и в диалоге указать <произвольный_пароль>.

    Недостаток такой схемы организации удалённой консоли заключается в том, что параметр <произвольный_пароль> при загрузке NLM-модуля REMOVE указывается открытым текстом. Чтобы скрыть параметр <произвольный_пароль>, с основной консоли NetWare 4.х необходимо ввести следующие команды

    LOAD REMOTE X

    REMOTE ENCRYPT

    Далее ОС NetWare 4.х предлагает ввести пароль для удалённой консоли. Он вводится скрытым текстом. В результате ОС формирует <код>, который отображается на консоли файлового сервера.

    После этого можно использовать следующие команды:

    LOAD REMOTE -E <код>

    (в NetWare 4.1 вместо этой команды можно ввести LDREMOTE.NCF)

    LOAD RSPX

    На рабочей станции указывается пароль, который администратор ввёл с основной консоли скрытым текстом.


    Содержание раздела