Читайте также:
|
В ОС NetWare реализованы три уровня защиты данных (рис. 6): аутентификация, права доступа и атрибуты.
Здесь под аутентификацией понимается:
- процесс подтверждения подлинности клиента при его подключении к сети;
- процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.
Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (каталогом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или каталогу.
Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен:
- знать свой идентификатор и пароль для подключения к сети;
- иметь право записи данных в этот файл;
- файл должен иметь атрибут, разрешающий запись данных.
Рис. 6. Уровни защиты данных в ОС NetWare
Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отношению к этому файлу (каталогу).
Аутентификация пользователей при подключении к сети. Подключение к сети выполняется с помощью утилиты LOGIN.EXE. Эта программа передаёт на сервер идентификатор, введённый пользователем (рисунок 7).
Рис. 7. Аутентификация клиента
По этому идентификатору ОС NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то ОС NetWare посылает на рабочую станцию зашифрованный с помощью пароля открытый ключ (симметричное шифрование). На рабочей станции этот ключ расшифровывается с помощью пароля, введённого пользователем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы. Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифрование), проверяет её и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подписью, получаемой в результате кодирования открытым ключом контрольной суммы содержимого пакета и случайного числа Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь выполняет те же самые действия.
Права доступа к каталогам и файлам. Права, которые могут быть предоставлены пользователю (или группе пользователей) по отношению к каталогу или файлу, перечислены в таблице 3.
Права и фильтры (маски) наследуемых прав назначаются администратором сети с помощью утилит ОС NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В ОС NetWare предлагается механизм наследования прав. Прежде всего, введём некоторые определения.
Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями.
Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).
Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.
Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.
| Права | Обозначение | Описание |
| Supervisor | S | Предоставляет все права по отношению к каталогу или файлу, включая возможность назначения этого права другим пользователям. Не блокируется фильтром наследуемых прав IRF. Это право не может быть удалено ниже по дереву каталогов. |
| Read | R | Чтение существующего файла (просмотр содержимого текстового файла, просмотр записей в файле базы данных и т.д.). |
| Write | W | Запись в существующий файл (добавление, удаление частей текста, редактирование записей базы данных). |
| Create | C | Создание в каталоге новых файлов (и запись в них) и подкаталогов. На уровне файла позволяет восстанавливать файл, если он был ошибочно удалён. |
| Erase | E | Удаление существующих файлов и каталогов. |
| Modify | M | Изменение имён и атрибутов (файлов и каталогов), но не содержимого файлов. |
| File Scan | F | Просмотр в каталоге имён файлов и подкаталогов. По отношению к файлу - возможность видеть структуру каталогов от корневого уровня до этого файла (путь доступа). |
| Access Control | A | Возможность предоставлять другим пользователям все права, кроме Supervisor. Возможность изменять фильтр наследуемых прав IRF. |
На рисунке 8 представлена схема формирования операционной системой NetWare эффективных прав пользователя к файлу или каталогу. Здесь предполагается, что пользователь является участником групп 1 и 2.
Важно подчеркнуть, что к этим эффективным правам добавляются эффективные права тех пользователей, которые указаны в списке Security Equal To (эквивалентны по защите). На рис. 8 символами '+' и '&' обозначены логические операции ИЛИ и И.
Рис. 8. Схема определения операционной системой NetWare
эффективных прав пользователя по отношению к файлу или каталогу
Атрибуты каталогов и файлов. Атрибуты файла (каталога) устанавливаются администратором сети с помощью утилиты (например, FLAG) и управляют доступом к этому файлу или каталогу. Атрибуты файлов и каталогов перечислены в таблице 4.
| Атрибут | Обозначение | Описание |
| NetWare 3.х – 6.х | ||
| Delete Inhibit | D или Di | Запрещает пользователю удалять файл или каталог. |
| Hidden | H | Делает файл или каталог невидимым для команды DIR и предотвращает его копирование и удаление. Однако команда NDIR позволяет его увидеть, если пользователь обладает правом File Scan для каталога. |
| Purge | P | Указывает ОС физически затирать файл или каталог при его удалении (delete). После этого файл или каталог нельзя восстановить. |
| Rename Inhibit | R или Ri | Запрещает пользователю переименовывать файл или каталог. |
| System | Sy | Устанавливается для файлов или каталогов, используемых только ОС (далее см. атрибут H). |
| Normal | N | Опция утилиты FLAG, позволяющая сбросить все атрибуты. |
| All | All | Опция утилиты FLAG, позволяющая установить все атрибуты. |
| Только для файлов | ||
| Archive Needed | A | Автоматически устанавливается для файлов, которые были модифицированы, но не архивировались. |
| Copy Inhibit | C или Ci | Запрещает копировать файл (только для ОС Macintosh). |
| Execute Only | X | Защищает файл от копирования. Устанавливается для файлов *.EXE и *.COM. Только пользователь с правами Supervisor может установить этот атрибут. Этот атрибут не может быть снят даже пользователем с правами Supervisor. Файл с этим атрибутом можно только удалить. |
| Shareable | S или Sh | Позволяет нескольким пользователям одновременно получать доступ к файлу. |
| Transactional | T | Показывает, что TTS ведёт неявные транзакции для этого файла. |
| NetWare 4.х – 6.х | ||
| Don't Migrate | Dm | Запрещает миграцию (перемещение) файла или каталога на магнитооптическое устройство. |
| Immediate Compress | Ic | Для файла – файл будет сжат, как только процессор освободится. Для каталога – файлы сжимаются после их изменения или при копировании файлов в каталог. |
| Don't Compress | Dc | Запретить системе сжимать файл или каталог. |
| Флаги статуса файла | ||
| Compressed | Co | Показывает, что файл сжат. |
| Can't Compress | Cc | Показывает, что файл не может быть сжат. |
| Migrated | M | Файл был перезаписан на магнитооптический диск. |
Права доступа к объектам NDS и их свойствам. Ранее уже отмечалось, что системная база данных сетевых ресурсов (СБДСР) представляет собой совокупность объектов, их свойств и значений этих свойств. В ОС NetWare 4.х и выше эта база данных называется NDS (NetWare Directory Services), а в ОС NetWare 3.х - Bindery.
Объекты NDS связаны между собой в иерархическую структуру, которую часто называют деревом NDS. На верхних уровнях дерева (ближе к корню [Root]) описываются логические ресурсы, которые принято называть контейнерными объектами. На самом нижнем (листьевом) уровне располагаются описания физических ресурсов, которые называют оконечными объектами.
В качестве контейнерных объектов используются объекты типа [Root] (корень), C (страна), O (организация), OU (организационная единица). Оконечные объекты - это User (пользователь), Group (группа), NetWare Server (сервер NetWare), Volume (том файлового сервера), Directories (директория тома) и т.д. Оконечные объекты имеют единое обозначение - CN.
В ОС NetWare 4.х и выше разработан механизм защиты дерева NDS. Этот механизм очень похож на механизм защиты файловой системы, который был рассмотрен ранее. Чтобы облегчить понимание этого механизма, оконечный объект можно интерпретировать как файл, а контейнерный объект - как каталог, в котором могут быть созданы другие контейнерные объекты (как бы подкаталоги) и оконечные объекты (как бы файлы). На рисунке 9 представлена схема дерева NDS.
Здесь символами [Root], C, O, OU обозначены контейнерные объекты, а символами CN - оконечные объекты.
В отличие от файловой системы здесь права по отношению к какому-либо объекту можно предоставить любому контейнерному или оконечному объекту дерева NDS. В частности допустимо рекурсивное назначение прав объекта по отношению к этому же объекту.
Рис. 9. Схема дерева NDS
Права, которые могут быть предоставлены объекту по отношению к другому или тому же самому объекту, перечислены в таблице 5.
| Права | Обозначение | Описание |
| Supervisor | S | Гарантирует все привилегии по отношению к объекту и его свойствам. В отличие от файловой системы это право может быть блокировано фильтром наследуемых прав IRF, который может быть назначен для каждого объекта. |
| Browse | B | Обеспечивает просмотр объекта в дереве NDS. |
| Create | C | Это право может быть назначено только по отношению к контейнерному объекту (контейнеру). Позволяет создавать объекты в данном и во всех дочерних контейнерах. |
| Delete | D | Позволяет удалять объект из дерева NDS. |
| Rename | R | Позволяет изменять имя объекта. |
Администратор сети может для каждого объекта в дереве NDS определить значения свойств этого объекта. Для объекта User – это имя Login, требования к паролю, пароль пользователя, пользовательский сценарий подключения и т.д. Механизм защиты NDS предоставляет также возможность назначать права по отношению к свойствам любого объекта (таблица 6).
| Права | Обозначение | Описание |
| Supervisor | S | Гарантирует все привилегии по отношению к свойству объекта. Это право может быть блокировано фильтром наследуемых прав IRF, который может быть назначен для свойства. Фильтры IRF назначаются для объекта и его свойства отдельно. |
| Compare | C | Позволяет при поиске объекта (например, с помощью утилиты NLIST) сравнивать значение свойства с любой константой. Однако это право не обеспечивает чтения значения свойства. После операции сравнения возвращается результат: True или False. |
| Read | R | Позволяет читать значение свойства из базы данных NDS. Право Read включает право Compare. |
| Write | W | Позволяет добавлять, изменять или удалять значение свойства. Право Write включает право Add Self. |
| Add Self | A | Позволяет опекуну (User) добавлять или удалять самого себя как значение свойства. Это право имеет смысл только для свойств, которые содержат имена пользователей в качестве значений, например, для свойства Members (участники) объекта Group (группа). |
Права по отношению к свойствам могут быть назначены сразу для всех свойств объекта (All Properties) и для выбранного свойства (Selected Properties).
Во втором случае права для выбранного свойства замещают права, назначенные через опцию All Properties. Следует также отметить, что права для выбранного свойства (Selected Properties) не наследуются, а права для всех свойств объекта (All Properties) наследуются.
Права и фильтры наследуемых прав назначаются администратором с помощью утилит ОС NetWare (NWADMIN или NETADMIN). Но назначение прав объектов по отношению ко всем требуемым объектам и свойствам - это утомительная задача. Предлагаемый в ОС NetWare 4.х и выше механизм наследования прав в дереве NDS напоминает механизм наследования прав в файловой системе.
Определения опекуна (Trustees), фильтра наследуемых прав (IRF), наследуемых прав, эффективных прав совпадают с соответствующими определениями для файловой системы. Только понятия файл, каталог, пользователь (группа пользователей) следует заменить соответственно на оконечный объект, контейнерный объект, произвольный объект. Ниже приведены эти определения.
Опекун (Trustees) - это объект, которому администратор с помощью утилиты (например, NWADMIN) явно назначает права к какому-либо объекту (или его свойствам). Такие права называются опекунскими назначениями.
Фильтр наследуемых прав (IRF - Inherited Right Filter) - это характеристика объекта (или его свойств), определяющая, какие права данный объект (или его свойства) может унаследовать от родительского контейнерного объекта. Фильтр назначается администратором с помощью утилиты (например, NWADMIN).
Наследуемые права - права, передаваемые (распространяемые) от родительского контейнерного объекта.
Эффективные права - права, которыми объект реально обладает по отношению к другому или тому же самому объекту (или его свойствам).
На рисунке 10 представлена схема формирования операционной системой NetWare эффективных прав объекта А по отношению к какому-либо объекту Б (или его свойствам).
Рис. 10. Схема определения операционной системой NetWare эффективных
прав объекта А по отношению к объекту Б (или его свойствам)
Здесь предполагается, что объект А является участником групп 1 и 2. Ясно, что группы следует учитывать только в том случае, если объект А - это объект типа User (пользователь).
Если объект А является пользователем, то к его эффективным правам добавляются эффективные права тех объектов, которые указаны в свойстве Security Equal To этого пользователя.
На рисунке 10 символами '+' и '&' обозначены логические операции ИЛИ и И.
Заключение
Становится всё более очевидным, что будущее развитие информационных технологий ведёт к возникновению новых каналов утечки информации и усилению качественных характеристик уже существующих.
Операционная система Novell NetWare предназначена для обеспечения доступа к общим ресурсам сети со стороны нескольких пользователей. В качестве таких ресурсов выступают файлы данных, принтеры, модемы, модули и т.д.
Операционная система Novell NetWare - это одна из первых коммерческих сетевых операционных систем, позволивших строить сети произвольной топологии, состоящие из разнородных компьютеров. Благодаря такой универсальности она быстро завоевала рынок и долгое время оставалась основной операционной системой для локальных сетей.
Дата добавления: 2015-07-19; просмотров: 66 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Принципы построения и функционирования ОС Novell NetWare | | | Назначение и основные возможности сетевой операционной системы Microsoft Windows Server 2008 R2. |