Административные объекты
Следующие объекты помогают управлять доступом к сети.
Объект пользователя ADMIN Объекты Организационная функция
Атрибуты файловой системы
Атрибуты файловой системы назначают права на отдельные каталоги и файлы. Некоторые атрибуты обладают смыслом, только в случае их применения на файловом уровне, другие применимы как на уровне файлов, так и на уровне каталогов.
При назначении атрибутов файлов и каталогов будьте внимательны. Атрибут применяется ко всем пользователям.
Например, если вы присвоите файлу атрибут Запрет стирания, то никто, даже владелец файла или администратор системы, не сможет удалить этот файл. Однако любой пользователь, имеющий право Изменение, сможет изменить этот атрибут и разрешить удаление.
В Табл. 8-1 перечислены и описаны права на файлы и каталоги, сохраняемые в таблице элементов каталога (DET).
Table 8-1. Атрибуты файлов и каталогов
| A | Атрибут Нужно архивировать указывает, что файл был модифицирован после того, как резервное копирование производилось в последний раз. Этот атрибут устанавливается автоматически. | Только к файлам |
| Ci | Атрибут Копировать нельзя запрещает пользователям Macintosh копировать файл. Этот атрибут отменяет права опекунов Чтение и Просмотр файла. | Только к файлам |
| Cc | Атрибут Нельзя сжать указывает, что файл нельзя сжимать в связи с тем, что это не приводит к выигрышу в объеме свободного пространства. | Только к файлам |
| Co | Атрибут Сжат указывает, что этот файл сжат. | Только к файлам |
| Dc | Атрибут Не сжимать запрещает сжатие данных для всех файлов в каталоге или для отдельных файлов. Этот атрибут отменяет установки автоматического сжатия для файлов, доступ к которым не производился в течение указанного числа дней. | К файлам и каталогам |
| Di | Атрибут Запрет стирания указывает, что удалить данный файл или каталог нельзя. Этот атрибут отменяет право опекунов Удаление. | К файлам и каталогам |
| Dm | Атрибут Не мигрировать запрещает перенос файлов и каталогов с жесткого диска данного сервера на другие накопители. | К файлам и каталогам |
| Ds | Атрибут Не распределять запрещает выделение подблоков для данных. | Только к файлам |
| H | Атрибут Скрытый скрывает файлы каталоги, запрещая их вывод при помощи команды DIR. Пользователи, имеющие право Просмотр файла, для просмотра списка файлов и каталогов, имеющих атрибут Скрытый, могут воспользоваться утилитой FILER или командой NDIR. | К файлам и каталогам |
| I | Атрибут Индексированный позволяет обеспечить быстрый доступ к файлам большого объема, в результате индексирования файлов, для которых имеется более 64 элементов в таблице размещения файлов (FAT). Этот атрибут устанавливается автоматически. | Только к файлам |
| Ic | Атрибут Сжать немедленно обеспечивает сжатие файлов сразу после их закрытия. Если этот атрибут установлен для каталога, после закрытия будут сжиматься все файлы каталога. | К файлам и каталогам |
| M | Атрибут Мигрирован указывает, что файл был перенесен с жесткого диска сервера на другой носитель. | Только к файлам |
| N | Атрибут Нормальный указывает, что атрибут Чтение-Запись установлен, а атрибут Совместно используемый - нет. Это установка атрибутов по умолчанию для всех новых файлов. | К файлам и каталогам |
| P | Флаг Очищаемый указывает, что файл или каталог следует полностью стереть из файловой системы сразу после удаления. Стертые файлы и каталоги восстановить нельзя. | К файлам и каталогам |
| Ri | Атрибут Переименовать нельзя запрещает изменять имя файла или каталога. | К файлам и каталогам |
| Ro | Атрибут Только чтение запрещает вносить в файл изменения. При его установке атрибуты Запрет стирания и Переименовать нельзя устанавливаются автоматически. | Только к файлам |
| Rw | Атрибут Чтение-Запись позволяет производить запись в файл. Все файлы создаются с этим атрибутом. | Только к файлам |
| Sh | Атрибут Совместно используемый позволяет одновременный доступ нескольких пользователей к файлу. Этот атрибут обычно используется вместе с атрибутом Только чтение. | Только к файлам |
| Sy | Атрибут Системный скрывает файл или каталог, в результате чего он не может быть просмотрен при помощи команды DIR. Такой файл может просмотреть пользователь, имеющий право Просмотр файла, при помощи утилиты FILER или команды NDIR. Атрибут Системный обычно устанавливается для файлов операционной системы, например, для системных файлов DOS. | К файлам и каталогам |
| T | Атрибут Транзакционный разрешает трассировку и защиту файла при помощи системы трассировки транзакций (TTS). | Только к файлам |
| X | Атрибут Только исполнимый запрещает копировать, модифицировать и делать резервные копии файла. Переименовывать такой файл можно. Единственным способом снятия этого атрибута является удаление файла. Этот атрибут следует использовать для файлов программ, например, .EXE и .COM. Перед тем, как установить для файла флаг Только исполнимый, сделайте его резервную копию, чтобы иметь возможность заменить его в случае повреждения. | Только к файлам |
Аутентификация
Когда клиент NetWare производит запрос на осуществление доступа к сети, например, при регистрации, сервер начинает процесс, называемый аутентификацей. При аутентификации клиентские запросы сертифицируются путем добавления к каждому запросу уникального кода. Этот уникальных код в дальнейшем используется для того, чтобы определять для каждого запроса следующую информацию.
Источник запроса К какой сессии относится запрос Не была ли какая-либо информация заимствована из какой-либо другой сессии Не повреждены ли данные запроса и не смешаны ли они с другой информацией
Например, аутентификация происходит, когда пользователь делает запрос на регистрацию. NDS в ответ возвращает уникальный код, добавляемый к регистрационной информации пользователя (пароль, адрес рабочей станции и время). На основе контекста и регистрационного имени процедура аутентификации идентифицирует объект Пользователь на других серверах и проверяет его права на использование конкретных ресурсов.
Аутентификация дает возможность поддерживать в сети NetWare 4 единую регистрацию для всех серверов сети.
Аутентификация позволяет зарегистрированному в сети пользователю получать доступ ко всем сетевым ресурсам, на которые у него имеются права. Если пользователь обладает недостаточными правами, доступ запрещается. При аутентификации проверяются права пользователя как на ресурсы Каталога, так и на ресурсы файловой системы.
Цели и задачи
Необходимо определить требования к доступу и защите для пользователей, приложений и сетевых ресурсов. После этого нужно создать рекомендации по разработке и конфигурированию процедур регистрации и размещению объектов доступа и защиты в дереве Каталога.
Это позволит вам воспользоваться картами ресурсов, картами размещения, картами топологии локальных/глобальных сетей, организационными схемами и имеющимися рекомендациями при определении уровней доступа и защиты, соответствующих требованиям вашей сети.
Частичное имя
Текущее положение объекта в дереве Каталога называется текущим контекстом или контекстом имени. Имя Каталога текущего контекста объекта относительно других объектов Каталога называется частичным именем или относительно-характерным именем (RDN).
NOTE: Термины "частичное имя" и "относительно-характерное имя" являются взаимозаменяемыми.
Частичное имя является подмножеством полного имени объекта. Оно позволяет искать и находить другие объекты Каталога при помощи их контекста (положения в дереве) друг относительно друга. Это упрощает обращение к объектам, расположенным близко к объекту, производящему запрос.
В частичном имени объекта используется только та часть полного имени объекта, которая не является общей для других объектов.
Например, частичным именем объекта Пользователь ESAYERS относительно остальных объектов в OU=SALES будет.
.CN=ESAYERS.
Частичным именем объекта Пользователь ESAYERS, имеющего полное имя
CN=ESAYERS.OU=SALES.OU=HQ.O=ACME
относительно объекта Принтер с полным именем
CN=PDLJ4_02.OU=PROD.OU=MFG.O=ACME
будет
CN=ESAYERS.OU=SALES.OU=HQ.
NOTE: Объекты в имени разделяются точками, используемыми аналогично символу обратная косая черта (/) в путях DOS. Точку можно использовать и в начале, и в конце строки. Точка в начале строки сообщает NDS, что следует игнорировать текущий контекст объекта и определять имя с объекта [Root]. Точка в конце строки позволяет сетевому ресурсу выбирать новый контекст при определении полного имени объекта с объекта [Root].
Частичное имя должно в принципе определяться, начиная с объекта [Root]. Делается это посредством добавления конечной точки в конце частичного имени. Добавление конечной точки заставляет NDS идентифицировать контекст объекта и автоматически определять остальную часть полного имени объекта.
Четыре типа процедур регистрации
Когда пользователь регистрируется, утилита LOGIN автоматически выполняет соответствующую процедуру регистрации. Существует четыре ее типа. При создании настраиваемой среды для пользователей они могут использоваться совместно или по отдельности. Кроме процедуры регистрации по умолчанию, все остальные процедуры могут настраиваться.
Процедуры регистрации выполняются в следующем порядке.
Процедура регистрации контейнера
Устанавливает основные параметры среды для всех пользователей, входящих в контейнер. Утилита LOGIN выполняет процедуры регистрации контейнера первыми. Пользователь может использовать лишь одну процедуру регистрации контейнера.
NOTE: Процедура регистрации контейнера заменила собой системную процедуру регистрации, использовавшуюся в NetWare 3TM. Процедура регистрации профиля
Устанавливает параметры среды для нескольких пользователей одновременно. Утилита LOGIN выполняет процедуру регистрации профиля после процедуры регистрации контейнера.
Пользователю может быть присвоена только одна процедура регистрации профиля, однако он может указать другие процедуры регистрации в командной строке. Одна и та же процедура регистрации профиля может использоваться несколькими пользователями. Процедура регистрации пользователя
Устанавливает параметры среды, соответствующие нуждам отдельного пользователя, например, опции печати или имя пользователя для электронной почты. Утилита LOGIN выполняет процедуру регистрации пользователя после того, как все процедуры регистрации контейнеров и профилей будут выполнены.
Пользователь может иметь только одну процедуру регистрации. Процедура регистрации по умолчанию
Эта процедура закодирована в LOGIN.EXE и не может быть изменена. Она выполняется, если у пользователя нет собственной процедуры регистрации, даже если процедуры регистрации контейнера или профиля существуют.
Процедура регистрации по умолчанию будет выполняться для всех пользователей (включая пользователя ADMIN), пока вы не создадите самостоятельную процедуру регистрации пользователя. Процедура регистрации по умолчанию содержит лишь необходимые команды, например, назначения дисков для утилит NetWare®.
Если вы не хотите создавать процедуры регистрации пользователей, и вам не нужно, чтобы процедура регистрации по умолчанию выполнялась, ее можно запретить, включив в процедуру регистрации контейнера или профиля команду NO_DEFAULT.
Чтобы воспользоваться процедурой регистрации из объекта Организация, Подразделение или Профиль, пользователи должны иметь право Просмотр на этот объект, а также право Чтение на свойство Процедура регистрации этого объекта.
NOTE: Чтобы получить дополнительную информацию о правах Просмотр и Чтение файла, объекта или свойства, см. "Просмотр" и "Права" в книге Концепции.
Действующие права
Права, которыми обладает объект, зависят от сочетания явных назначений опекунов, наследования и IRF. Это сочетание определяет действующие права объекта.
Действующие права объекта контролируют его доступ к другим объектам и их свойствам. Эти права определяют, какие действия объект может производить на определенном уровне дерева Каталога или файловой системы.
Объект Пользователь может иметь явное назначение опекунов на уровне Организации, однако IRF может сильно повлиять на его права на более низком уровне объекта Подразделение. Это важно учитывать при определении действующих прав конкретного объекта.
Длина имени и глубина дерева
Поддержание подходящей глубины дерева в вашей среде упрощает доступ и управление сетью.
Дерево Каталога должно иметь глубину от четырех до восьми уровней. По мере усложнения среды в связи с ростом числа объектов или увеличением количества территориальных пунктов, подчиняющихся единому управлению, дерево можно легко расширить, чтобы приспособить его к возникшим условиям.
Вместе с тем утилиты командной строки DOS налагают на максимальную длину контекста ограничение в 255 символов. Чем короче имена подразделений (OU), тем большей может быть глубина дерева. Однако чем больше глубина дерева, тем сложнее может оказаться доступ к сетевым ресурсам.
Общее количество символов определяется длиной полного имени объекта в полнотиповом формате. Оно включает сокращения типов объектов, знаки равенства (=) и точки (.).
При создании конечных объектов производится проверка, не превышает ли длина полного имени объекта максимально допустимой.
Однако в случае переименования конечного объекта есть вероятность, что длина его полного имени превысит 255 символов. Следующий пример показывает допустимое полное имя.
CN=JSMITH.OU=SALES.OU=HQ.O=ACME.ACMECORP
Фильтр наследуемых прав
Наследуемые права контролируются путем блокировки отдельных прав при помощи фильтра наследуемых прав (IRF).
В дереве Каталога объекты автоматически получают, или наследуют, права, назначенные их родительским объектам. IRF используется для частичной или полной блокировки наследования прав подчиненными объектами.
Однако важно помнить, что предоставлять права при помощи IRF нельзя. IRF может лишь блокировать права, присвоенные объектам, расположенным на более высоких уровнях дерева. Тем не менее IRF можно активизировать для всех файлов, каталогов, объектов Каталога и свойств объектов.
Право Супервизор для объектов и их свойств можно заблокировать при помощи IRF. Однако право Супервизор для файлов и каталогов при помощи IRF заблокировать нельзя.
Глобальные и совместно используемые ресурсы
Глобальные и совместно используемые ресурсы обычны для сетевых сред. С ними пользователи работают через каналы локальных и глобальных сетей. Примерами глобальных ресурсов являются базы данных по клиентам, приложения, электронная почта, календари, телефонные книги, принтеры и серверы приложений. Чтобы обеспечить их эффективное и логичное использование, необходимо определить общие принципы работы с ними.
Может возникнуть необходимость в создании расположенных близко к объекту [Root] специальных контейнеров, содержащих соответствующие глобальным ресурсам объекты Псевдоним и Назначение каталога. Например, можно создать контейнер, содержащий объекты Назначение каталога для пакета приложений общего пользования.
Вам также следует создать контейнер, содержащий объекты Псевдоним всех пользователей сети, так что глобальные приложения, например, программы работы с электронной почтой, смогут получать информацию Каталога из единого источника. Разделы и реплики для такого контейнера могут быть размещены по всей сети. Поскольку объекты Псевдоним имеют небольшой размер, а изменения в них невелики, синхронизация проходит весьма эффективно.
При аутентификации пользователя в сети выполняются его профили и процедуры. Если не все такие профили и процедуры хранятся на локальном диске, то в процессе регистрации они передаются по каналам локальной или глобальной сети.
Если копии профилей и сценариев размещены недалеко от пользователя, процесс аутентификации происходит быстрее.
К таким конечным объектам, как объекты Том и Принтер, легче всего получать доступ в тех случаях, когда они расположены в самом нижнем уровне контейнеров, доступном для всех объектов, которым необходим доступ к ним.
Например, если какой-либо принтер используется двумя различными отделами, имеющими отдельные контейнеры Подразделение, поместите объект Принтер на уровень выше этих контейнеров.
Глобальные объекты Группа
Объект Группа может содержать пользователей из любых контейнеров дерева Каталога. Этот объект можно размещать в любом контейнере и предоставлять ему любые права. Это позволяет создать глобальный объект Группа для управления глобальным доступом к дереву Каталога для определенного набора пользователей.
Например, можно создать группу менеджеров или группу публикации, которой необходим одинаковый уровень доступа к сетевым ресурсам, и включить в объект Группа всех нужных пользователей. Такой тип объектов Группа дает возможность управлять доступом к какому-либо отдельному ресурсу или содержащему ресурсы контейнеру из единого пункта.
Объекты Группа дают возможность предоставлять специальные права некоторым из входящих в объект Подразделение пользователей. Это позволяет управлять гораздо меньшими группами пользователей, чем объекты Подразделение.
| |
Глобальные процедуры регистрации
В NetWare 4 глобальные системные процедуры регистрации не используются. Каждый создаваемый объект Подразделение включает собственную процедуру регистрации (процедуру регистрации контейнера). Процедуры регистрации выполняются в следующем порядке:
Процедура регистрации контейнера, если присутствует Процедура регистрации профиля, если используется Процедура регистрации пользователя или процедура регистрации по умолчанию, если других процедур регистрации нет
Если вы хотели бы создать процедуру регистрации, обладающую большей степенью общности, и использовать ее при регистрации пользователей из нескольких контейнеров Подразделение, вы можете воспользоваться объектом Профиль для установки конкретных параметров окружения для группы пользователей. Объект Профиль позволяет делать назначения накопителей в дополнение к назначенным при регистрации контейнера.
Идентификация объектов Каталога по местоположению
Сетевые ресурсы производят поиск и перемещение в дереве Каталога, чтобы находить объекты в соответствующем им контексте. Например, пользователь может перемещаться из одного контейнера в другой путем сменыконтекстов. Это не означает, что объект этого пользователя перемещается по дереву в другой контекст, а свидетельствует о переключении пользовательского вида дерева Каталога на другой контекст.
Однако, если пользователь сменит контекст, имена объектов для объекта этого пользователя будут строиться относительно его нового текущего контекста. Это позволяет пользователям перемещаться по дереву, чтобы производить поиск и доступ к объектам Каталога в их собственных контейнерах.
Для перемещения по дереву в NetWare 4 имеются графические утилиты и утилиты, работающие в текстовом режиме.
При поиске в дереве Каталога сетевые ресурсы могут использовать как полное, так и частичное имя объекта.
Чтобы объект Пользователь ESAYERS смог получить доступ к объекту Том, размещенному в контейнере HQ, следует воспользоваться следующим оператором назначения.
MAPбуква_диска:=CN=имя-сервера_имя-тома.OU=HQ.:
Например, чтобы назначить том APPS сервера SALES1 на диск с обозначением G:, следует ввести.
MAP G:=CN=SALES1_APPS.OU=HQ.:
NOTE: Для доступа к другим объектам дерева можно использовать как полнотиповое, так и бестиповое имя.
Идентификация объектов по имени
Местоположение объекта в дереве называется контекстом. Имя объекта в дереве (имя в Каталоге) определяется полным путем от контекста объекта в дереве до объекта [Root] дерева Каталога.
Именование объектов Псевдоним
Вы можете дать объекту Псевдоним такое имя, которое будет показывать, что это указатель на первичный объект. Например, имя может включать слово Alias, типа ALIAS_MKT_SRV1.
Вы также можете дать объекту Псевдоним имя, не указывающее на его отличие от первичного объекта. Пользователям не обязательно знать разницу, а добавление к имени слова Alias может лишь сбить их с толку.
Использование объектов, связанных с доступом
Объекты, связанные с доступом, упрощают перемещение по дереву и доступ к часто используемым сетевым ресурсам.
Эквивалентность по правам
Эквивалентность по правам дает возможность присваивать права при посредстве ассоциации. Это означает, что объект может получить права, будучи связан с другими объектами, например, контейнерами, группами или организационными функциями.
Эквивалентность по правам позволяет объекту стать эквивалентным по правам другому объекту. Каждый объект по умолчанию является эквивалентным по правам объекту [Root] и опекуну объекта [Public]. Это гарантирует, что все объекты смогут производить поиск и перемещаться по дереву Каталога.
Эквивалентность по правам распространяется вниз по дереву вне зависимости от назначений опекунов. Поэтому права, присвоенные объекту, не влияют на права, приобретенные при помощи эквивалентности по правам. Например, объект Пользователь может быть сделан эквивалентным по правам объекту Группа, обладающему правом Супервизор на все объекты дерева. Любые явно присвоенные данному объекту Пользователь права в конкретном объекте Подразделение не повлияют на права, полученные при помощи эквивалентности по правам.
Эквивалентность по правам и наследование
Эквивалентность по правам отличается от наследования тем, что наследование позволяет правам распространяться вниз по дереву от родительских объектов к дочерним, пока права не будут заблокированы при помощи IRF. Эквивалентность по правам действует лишь на те права, которые были явно предоставлены объектам, поддерживающим это свойство.
Следует помнить, что наследование можно заблокировать при помощи IRF, тогда как эквивалентность по правам и назначения опекунов заблокировать нельзя. Эквивалентность по правам и назначения опекунов должны предоставляться и отменяться явным образом.
Это важно понять, поскольку все объекты в контейнере Подразделение автоматически являются эквивалентными по правам этому контейнеру. Включение IRF для объекта Подразделение не подействует на права, полученные от объекта Подразделение благодаря эквивалентности по правам.
| Разработать стратегию миграции для серверов и рабочих станций, работающих под предыдущей версией NetWare или другой сетевой операционной системой | Глава 9 |
| Создание графика внедрения | Глава 10 |
| |
Как осуществляется доступ к сетевым ресурсам
Поскольку сетевые ресурсы находятся в дереве с иерархической структурой, для доступа к конкретному объекту необходима информация об имени этого объекта и его положении в дереве. Пользователи и сетевые ресурсы используют имена объектов для поиска и взаимодействия с другими объектами.
У каждого конечного объекта есть идентифицирующее его имя. Это имя называется общим именем (CN) конечного объекта. Для объектов Пользователь общим именем является регистрационное имя пользователя. У остальных конечных объектов тоже есть общие имена, например, имя объекта Принтер, имя объекта Сервер NetWare или имя объекта Том.
У объектов-контейнеров нет общих имен. Обращение к ним происходит при помощи имени объекта Подразделение (OU), объекта Организация (O) или объекта Страна (C).
Какие объекты следует создавать
Если для вас или для какой-либо службы требуется пользователь Bindery с именем GUEST, вам следует создать такого пользователя GUEST в базе данных Каталога.
В процессе инсталляции создается объект Bindery SUPERVISOR, однако он не используется с NDS. утилиты NDS не отображают этот объект. Этот объект предназначен для использования с сервисом Bindery и для доступа к серверу через регистрацию Bindery. После активизации сервиса Bindery вы можете использовать этот объект для регистрации на сервере, в результате чего вы сможете зарегистрироваться как объект Bindery.
Можно создать объект NDS Пользователь SUPERVISOR и в NDS сделать его эквивалентным по правам объекту ADMIN. Однако объекты NDS и Bindery являются уникальными и отдельными, даже если они имеют одинаковые имена.
После инсталляции сервера NetWare можно воспользоваться утилитой миграции, чтобы преобразовать бюджеты Bindery пользователей в объекты NDS Пользователь и Группа. Если вы сделаете это, в объекты NDS будут конвертированы все группы, и все пользователи, кроме SUPERVISOR. Пользователь SUPERVISOR мигрируется, но права супервизора он получает лишь на контекст Bindery и файловую систему данного сервера. SUPERVISOR не отображается в качестве объекта Каталога.
Наследование
Поскольку дерево Каталога и файловая система являются древовидными иерархическими структурами, присвоенные дереву Каталога или файловой системе права распространяются вниз по дереву. Это называется наследованием. Наследование позволяет правам, назначенным на верхних уровнях дерева или файловой системы, распространяться вниз на подчиненные уровни. Права, полученные от более высоких уровней, называются наследуемыми правами. Наследуемые права распространяются вниз по дереву, не требуя дополнительных назначений опекунов.
Назначения опекунов
Назначение опекунов определяет, какой уровень доступа имеют объекты Каталога к другим объектам Каталога и их свойствам, а также к файлам и каталогам файловой системы. Эти назначения делаются при помощи явного назначения прав на объекты Каталога и их свойства, файлы и каталоги файловой системы.
Некоторые назначения опекунов делаются автоматически при инсталляции и при создании определенных объектов, например, объектов Пользователь и Сервер NetWare. Чтобы получить дополнительную информацию, см. .
Эти назначения имеют следующие характеристики.
Назначения опекунов распространяются от объекта [Root] вниз по ветвям дерева Каталога, или от корневого каталога на расположенные ниже него каталоги файловой системы. Явное назначение на нижнем уровне заменяет собой все назначения, сделанные на более высоких уровнях дерева Каталога или каталогов файловой системы. Права на выбранные свойства переопределяют права, назначенные при помощи атрибута [права на все свойства]. Все объекты Каталога, каталоги файловой системы и файлы поддерживают списки опекунов всех объектов Пользователь, Группа и Организационная функция, имеющих к ним право доступа. Назначения опекунов для файловой системы хранятся в таблице элементов каталога (DET), а назначения опекунов для объектов Каталога и их свойств - в списке управления доступом (ACL).
Назначения опекунов по умолчанию
При инсталляции устанавливаются следующие назначения опекунов по умолчанию.
| Объект Пользователь, создавший объект Сервер NetWare | Право Супервизор [S] на объект Сервер NetWare | |
| Объект Пользователь ADMIN | Право Супервизор [S] на объект [Root] и созданный им объект Сервер NetWare | |
| Объект [Root] | Право Чтение [R] на свойства Имя сервера хоста и Имя тома хоста всех объектов Том | |
| Объект [Public] | Право Чтение [R] на свойство Сетевой адрес сервера | |
| Тома сервера | Право Чтение на свойство контейнера Процедура регистрации | Права Чтение [R] и Просмотр файла [F] на SYS:PUBLIC Права Чтение [R] и Просмотр файла [F] на SYS:DOC (необязательно) Права Чтение [R], Просмотр файла [F], Создание [C] и Редактирование [E] на SYS. |
Объект Назначение каталога
Объект Назначение каталога позволяет объектам, расположенным в одном контейнере, получать доступ к каталогам файловой системы объектов Том, расположенных в другом контейнере. Это полезно в тех случаях, когда приложение или файл находятся только в одном контейнере, а доступ к ним получают объекты, расположенные в нескольких контейнерах.
Например, пользователи в контейнере Подразделение SALES могут получать доступ к объекту Назначение каталога, указывающего на приложение базы данных, хранящееся на томе, расположенном в контейнере Подразделение HQ. Это дает пользователям возможность обращаться к базе данных, используя лишь общее имя объекта Том.
NOTE: Объекты Назначение каталога могут указывать на конкретный объект Том или каталог файловой системы на этом томе.
Объект Назначение каталога может управлять назначениями в процедуре регистрации контейнера или пользователя. Например, если в нескольких процедурах регистрации контейнеров или пользователей делаются отдельные назначения дисков на определенный каталог приложения, то в случае изменения каталога или перемещения приложения в другой каталог каждое из этих назначений придется менять отдельно. Если же для обращения к каталогу приложения процедуры регистрации контейнеров и пользователей ссылаются на один и тот же объект Назначение каталога, изменения придется вносить только в этот объект.
Присваивая объекту Назначение каталога путь к каталогу, где хранятся нужные файлы или приложения, следует также предоставить каждому объекту Пользователь права Чтение и Просмотр файла на содержащиеся в данном каталоге приложения и файлы. Это можно сделать, предоставив права Чтение и Просмотр файла объекту Назначение каталога, а затем сделав каждого пользователя эквивалентным этому объекту по правам. Вы также можете присвоить права на файлы всем объектам Подразделение. Объекты Пользователь автоматически становятся эквивалентны по правам объектам Подразделение, куда они входят.
Объект Организационная функция
Объект Организационная функция подобен объекту Группа. Основное отличие состоит в том, что объект Группа обычно используется в процедурах регистрации и ориентирован на осуществление действий (например, доступ к приложениям на сервере). Объекты Организационная функция не используются в процедурах регистрации, и в большей степени предназначены для создания объектов-контейнеров администраторов, содержащих небольшое число пользователей по должности. Объект Организационная функция имеет атрибут под названием "Исполнитель".
Исполнителя можно быстро добавлять и удалять из объекта Организационная функция, что облегчает произведение краткосрочных назначений. Если постоянный администратор будет какое-то время отсутствовать, в объект Организационная функция может быть помещен другой пользователь, который на этот период будет обеспечивать управление сетью.
Объекты Организационная функция создаются и обеспечиваются определенными правами в соответствии с необходимыми характеристиками должности. В дальнейшем назначать пользователей в качестве исполнителей Организационной функции можно при помощи утилит NetWare Administrator или NETADMIN.
Объект пользователя ADMIN
При первой регистрации в новом дереве Каталога вы регистрируетесь как объект Пользователь ADMIN - единственный объект Пользователь, создаваемый в процессе инсталляции NetWare 4. ADMIN создается при первой установке дерева Каталога, а не тогда, когда вы добавляете к существующему дереву другие серверы.
Пользователю ADMIN присваиваются все права (включая право Супервизор) на все объекты и свойства, входящие в дерево Каталога. Это предоставляет пользователю ADMIN полный контроль над деревом.
NOTE: При самой первой регистрации в дереве Каталога вы можете создать объект Пользователь и присвоить ему права Супервизора, чтобы гарантировать, что имеется несколько объектов, обладающих правами, достаточными для полного контроля над деревом. Такой объект может быть жизненно необходим, если объект ADMIN будет случайно удален.
При создании объекта ADMIN ему присваивается право Супервизор на объект Сервер NetWare. Это предоставляет пользователю ADMIN право Супервизор на корневой каталог всех томов NetWare, подключенных к серверу, благодаря чему ADMIN может управлять всеми каталогами и файлами на всех томах дерева Каталога.
ADMIN не имеет специального предназначения, как SUPERVISOR в предыдущих версиях NetWare. Пользователю ADMIN предоставляются права на создание и управление всеми объектами просто потому, что он создается самым первым.
Объект ADMIN в любой момент можно переименовать или удалить, однако перед удалением ADMIN права Супервизора на объект [Root] следует присвоить какому-либо другому пользователю.
NOTE: Если вы создадите объект Пользователь, сделаете его эквивалентным по правам объекту ADMIN, а затем удалите ADMIN, новый объект Пользователь потеряет эту эквивалентность по правам.
WARNING: Ни в коем случае не удаляйте объект ADMIN, не присвоив право Супервизор другому объекту пользователь. Пренебрежение этим может быть гибельным, поскольку вы утратите полный контроль над деревом каталога. Восстановление доступа к дереву может быть выполнено только специалистами технической поддержки фирмы Novell.
Это предупреждение также относится к другим разделам дерева Каталога, где определен объект Пользователь ADMIN. Убедитесь, что на каждом уровне дерева, где определен объект ADMIN, существует объект Пользователь с явно определенным правом Супервизор.
Также важно помнить, что права могут быть как предоставлены, так и отменены на уровне контейнера. Если на уровне контейнера все права были отфильтрованы, и ни один пользователь в контейнере не обладает полными правами, это значит, что в этом контейнере нет объекта с полными административными правами. Это может вызвать проблемы.
Объект Псевдоним
Объект Псевдоним - это указатель на соответствующий ресурсу объект дерева. Объект Псевдоним может указывать как на объект-контейнер, так и на конечный объект.
Например, пользователи, входящие в контейнер Подразделение SALES, могут получать доступ к объекту Принтер, находящемуся в контейнере Подразделение HQ при помощи объекта Псевдоним, расположенного в их собственном контейнере. Это дает пользователям возможность обращаться к этому принтеру, используя лишь общее имя объекта Псевдоним.
Объект Псевдоним также может указывать из одного объекта Подразделение на другой объект Подразделение. Это позволяет предоставить пользователям, входящим в контейнер с объектом Псевдоним, права на объекты, входящие в контейнер на который указывает псевдоним.
Например, вы можете создать объект Подразделение, содержащий группу серверов приложений. Пользователям, не входящим в этот объект Подразделение, тоже могут потребоваться права доступа к этим серверам. Если вы создадите в контейнере этих пользователей объект Псевдоним, указывающий на контейнер, где содержатся серверы приложений, у этих пользователей будут такие же права на эти серверы приложений, как и у объектов, входящих в контейнер этих серверов.
Оценка полученных результатов
После того, как вы завершите разработку плана управления доступом, ответьте на приведенные ниже вопросы, чтобы оценить эффективность этого плана.
Какие приложения используются в организации? Какие приложения используются всеми членами сети? Есть ли ресурсы, например, приложения, каталоги или принтеры, совместно используемые в нескольких местах или группах? Все ли пользователи, входящие в определенный контейнер, имеют одинаковый уровень доступа к конкретным ресурсам? Как вы будете изменять уровень доступа пользователей к ресурсам? Какие клиентские операционные системы наличествуют в сети? Сколько приложений или сетевых ресурсов требуют использования сервиса Bindery?
Ограничения на информацию
Некоторая часть информация NDS недоступна через сервис Bindery. К информации этого типа относится (приводится неполный список).
Адрес электронной почты Номер телефона Конфигурации заданий на печать Псевдонимы Профили Процедуры регистрации NDS
Ограничения на разделы
Контекст Bindery сервера может быть установлен на контейнер, являющийся частью раздела, хранящегося на другом сервере. Однако перед тем, как вы сможете воспользоваться сервисом Bindery, необходимо поместить записываемую реплику раздела, включающего контекст Bindery, на сервер, где был активизирован сервис Bindery.
Если вы установите контекст Bindery сервера на объект-контейнер, не являющийся частью хранящейся на этом сервере записываемой реплики, пользователи не смогут зарегистрироваться через сервис Bindery.
Ограничения на смену контекста
Установив контекст Bindery сервера, не изменяйте его. При изменении контекста Bindery сервера пользователи остаются в первоначальном контексте, не имея доступа к сервису Bindery. Смена контекста Bindery сервера также может привести к отключению доступа к очередям печати.
Определение эффективного метода управления доступом
Управление доступом является неотъемлемой частью NDS и структуры файловой системы NetWare. Оно определяет, какие действия может произвести пользователь, и к каким ресурсам и информации можно получить доступ.
Эффективную структуру защиты создать легко, поскольку большинство необходимых прав автоматически присваивается при создании объектов Каталога.
Администраторы могут управлять пользователями и группами, которым необходим доступ к ресурсам, например, к данным и программам, находящимся в файлах и каталогах. Они также могут защитить от несанкционированного доступа все объекты на уровне сервера.
Управление доступом к объектам Каталога осуществляется при помощи следующих процедур, систем и функций:
Аутентификация Система защита NDS и файловой системы Процедуры регистрации и профили Административные объекты
Определение необходимости в сервисе Bindery
Некоторые приложения и сервисы, работающие в среде NetWare 4, в данный момент не используют всех преимуществ технологии NDS. Чтобы дать пользователям возможность доступа к таким сервисам из среды NetWare 4, фирма Novell создала сервис Bindery.
NDS при помощи сервиса Bindery эмулирует однородную структуру для конечных объектов внутри контейнера Организация или Подразделение. Когда сервис Bindery активизирован, доступ ко всем входящим в указанный контейнер объектам могут получать как объекты NDS, так и серверы и клиентские рабочие станции, работающие с Bindery.
IMPORTANT: Сервис Bindery работает только с конечными объектами внутри указанного контейнера.
Приведенный ниже рисунок иллюстрирует работу с сервисом Bindery с использованием объекта Подразделение в качестве контекста Bindery.
Figure 8-1. Сервис Bindery в дереве Каталога
На каждом из серверов, где вы хотите активизировать сервис Bindery, должна храниться записываемая реплика раздела, включающего объект-контейнер, который вы сделали контекстом Bindery. Однако в процессе инсталляции реплика раздела сохраняется лишь на первых трех серверах, инсталлируемых в данном разделе, и поэтому только они смогут поддерживать сервис Bindery.
Вы можете добавить реплики и на другие серверы, если сервис Bindery требует этого. Если на сервере нет главной реплики или реплики для чтения и записи, воспользуйтесь опцией NDS Manager в NetWare Administrator или PARTMGR, чтобы добавить ее.
NOTE: Если контекст Bindery не установлен, NDS не сможет поддерживать сервис Bindery.
Сервис Bindery базируется на сервере. Если клиентская рабочая станция производит регистрацию Bindery, процедура регистрации приходит с того сервера, на котором регистрируется данный клиент. Все изменения в процедуру регистрации Bindery пользователя вносятся лишь на одном сервере, и информация об этих изменениях не передается на другие серверы.
Вы не можете отключить сервис Bindery, если кто-либо зарегистрировался с его помощью. Объекты Bindery имеются и доступны всегда, если только сервис Bindery не отключен.
Сервис Bindery позволяет NetWare 4 поддерживать следующие ресурсы Bindery.
Классы объектов Bindery Базирующееся на Bindery клиентское программное обеспечение NetWare Пользователи Группы Очереди Серверы печати Профили Программы Bindery
Вам следует определить, какие программы и сетевые ресурсы, например, jetdirect-принтеры и клиентские рабочие станции, используют Bindery.
Каждый сервер NetWare 4.1x поддерживает до 16 различных установок контекста Bindery. Если в вашей сети присутствуют основанные на Bindery ресурсы и приложения, вам следует подумать об основах осуществления доступа в контекст Bindery для каждого ресурса.
Определение потребностей в доступе
При определении потребностей в доступе для вашей организации следует дать ответы на следующие вопросы.
Какой тип сетевых связей необходим? Какой тип программного обеспечения NetWare ClientTM
будет использоваться? Пользователи работают на одном месте или являются мобильными? К каким сетевым ресурсам пользователи получают доступ и каким образом эти ресурсы совместно используются? Нужен ли сервис Bindery?
Планирование эффективных процедур регистрации
Поддержка большого числа процедур регистрации пользователей может отнимать много времени. Попытайтесь включить большую часть настроечной информации в процедуры регистрации контейнеров и профилей, поскольку их количество меньше, и поэтому их легче поддерживать.
Например, если всем пользователям необходим доступ к утилитам NetWare, хранящимся на одном томе, назначение поискового диска следует помещать в процедуру регистрации контейнера, а не в каждую из процедур регистрации пользователя.
Если нескольким пользователям требуются одинаковые процедуры регистрации, создайте процедуру регистрации профиля.
Наконец, включайте в процедуры регистрации пользователя только те индивидуальные настройки, которые нельзя поместить в процедуры регистрации профиля или контейнера.
Поскольку в процессе регистрации пользователя может выполняться до трех процедур, могут возникнуть конфликты. В этом случае последняя из выполняемых процедур (обычно это регистрация пользователя) переназначает все конфликтующие команды из предыдущих процедур.
Процедуры регистрации являются свойствами объектов. В приведенной ниже таблице показаны типы процедур регистрации и соответствующие им типы объектов.
| Организация | Процедура регистрации контейнера |
| Подразделение | Процедура регистрации контейнера |
| Профиль | Процедура регистрации профиля |
| Пользователь | Процедура регистрации пользователя |
В планировании эффективных процедур регистрации вам могут помочь следующие соглашения.
Table 8-2. Соглашения по процедурам регистрации
| Минимальные процедуры регистрации | Минимальных процедур регистрации не существует. Все четыре типа процедур регистрации являются необязательными. В процедурах регистрации может быть всего одна строка, или, напротив, большое число строк. Команд, использование которых в процедурах регистрации является обязательным, нет. |
| Регистр | Можно пользоваться как верхним, так и нижним регистром. Исключение: переменные-идентификаторы, заключенные в кавычки и предваренные знаком процента (%) должны быть записаны символами верхнего регистра. |
| Количество символов в строке | Максимально допустимая длина строки составляет 150 символов. Для удобства чтения рекомендуется использовать строки длиной до 72 символов (распространенная ширина экрана). |
| Символы и знаки препинания | Все символы (#. %. ', _) и знаки препинания следует вводить точно так же, как показано в примерах и описаниях синтаксиса. |
| Количество команд в строке | Записывайте по одной команде в строке. Начинайте каждую команду с новой строки. Для завершения записи каждой команды нажимайте <Enter>, и начинайте вводить новую команду. Автоматически строки считаются одной командой. Информация, выводимая командой WRITE, выглядит лучше, если команда WRITE повторяется в начале каждой из перенесенных строк. |
| Последовательность команд | Обычно команды вводятся в том порядке, в котором их следует выполнять, за следующими исключениями.
Команды ATTACH должны предваряться соответствующими командами MAP, что позволяет избежать вывода сообщения, приглашающего пользователя ввести в процессе регистрации имя и пароль. Если для выполнения внешней программы вы используете "#", этот оператор должен быть записан после всех необходимых команд MAP. Если последовательность команд не важна, то близкие команды, например, MAP или WRITE, следует группировать, чтобы читать процедуру регистрации было проще. |
| Пустые строки | Наличие пустых строк не влияет на выполнение процедуры регистрации. Используйте пустые строки, чтобы визуально разделять группы команд. |
| Комментарии (REMARK, REM, звездочки и точки с запятой) | Строки, начинающиеся с REMARK, REM, звездочки или точки с запятой, считаются комментариями и не отображаются в процессе выполнения процедуры регистрации. Комментарии следует использовать, чтобы записывать назначение каждой команды или группы команд. |
| Переменные-идентификаторы | Вводите переменные-идентификаторы в точности так, как указано. Чтобы значение переменной-идентификатора отображалось на экране рабочей станции как часть команды WRITE, идентификатор следует заключить в кавычки и предварить знаком процента (%). |
Подразумеваемая эквивалентность по правам
Каждый объект является эквивалентным по правам всем объектам, представляющим собой часть его полного имени (характерного имени). Это свойство называется подразумеваемой эквивалентностью по правам.
Подразумеваемая эквивалентность по правам является характеристикой схемы Каталога и не может модифицироваться. Поэтому подразумеваемую эквивалентность по правам нельзя просматривать при помощи утилит NetWare.
Эквивалентность по правам не обладает транзитивностью. Например, объект Пользователь, эквивалентный по правам объекту ADMIN, получает эквивалентность по правам, которую объект ADMIN может иметь для других объектов.
Полное имя
Полный путь к местоположению объекта в дереве, то есть путь от того места, где он расположен, до объекта [Root], образует полное имя или характерное имя (DN) объекта.
NOTE: Термины "характерное имя" и "полное имя" являются взаимозаменяемыми.
Например, полным именем или полностью характерным именем (DN) объекта Пользователь ESAYERS может быть.
.CN=ESAYERS.OU=SALES.OU=HQ.O=ACME
NOTE: Объекты в имени разделяются точками, используемыми аналогично символу обратная косая черта (/) в путях DOS. Точка может использоваться в начале строки. Точка в начале строки сообщает NDS, что следует игнорировать текущий контекст объекта и определять имя с объекта [Root]. Точку в конце строки использовать нельзя.
Полнотиповые и бестиповые имена
Характерное имя объекта состоит из объектов разных типов, таких, как общее имя (CN), объекты Подразделение (OU) и объекты Организация (O). Когда в имени объекта используются эти сокращения типов объектов, такое имя называется полнотиповым именем объекта. Например.
CN=ESAYERS.OU=SALES.OU=HQ.O=ACME
Во многих случаях при обращении к объекту Каталога сокращения типов объектов можно пропустить. Имя такого вида называется бестиповым именем объекта. Например.
ESAYERS.SALES.HQ.ACME
Если в полном имени объекта не указаны типы объектов, NDS производит определение типа атрибута для каждого объекта, входящего в имя.
Права доступа к файловой системе
После того, как пользователь зарегистрировался в сети, доступ к файлам и каталогам определяется структурой защиты файловой системы NetWare. Основой защиты файловой системы NetWare является таблица элементов каталога (DET).
В DET хранится информация, связанная с доступом к каталогам и файлам. Она содержит информацию об именах файлов и каталогов на томе, а также свойства.
К примеру, элемент может содержать следующую информацию.
Имя файла Владелец файла Дата и время последней модификации Назначения опекунов
Для получения доступа к файлам и каталогам необходимо иметь достаточные права доступа к файловой системе.
В приведенной ниже таблице перечислено, какие права на файловую систему можно использовать в NetWare 4 при назначениях опекунов.
| Управление доступом | Добавлять и удалять опекунов и изменять права на файлы и каталоги. |
| Создание | Создавать подкаталоги и файлы |
| Удаление | Удалять каталоги и файлы |
| Просмотр файла | Просматривать файл и имена каталогов в структуре файловой системы |
| Изменение | Переименовывать файлы и каталоги и изменять атрибуты файлов |
| Чтение | Открывать и считывать файлы, а также открывать, считывать и выполнять приложения |
| Супервизор | Предоставить все перечисленные здесь права |
| Запись | Открывать, записывать и модифицировать файл |
Есть три права, которые необходимо использовать осторожно.
Супервизор [S]
Право Супервизор [S] предоставляет все права на файлы и каталоги и не может быть отфильтровано.
Пользователи, обладающие правом Супервизор [S], могут назначать опекунов и присваивать любые права другим пользователям. Управление доступом [A]
Право Управление доступом [A] дает пользователям возможность назначать опекунов, однако они могут предоставить опекунам только те права, которыми обладают сами. Право Управление доступом [A] позволяет также пользователям модифицировать IRF. Изменение [M]
Право Изменение [M] дает пользователям возможность изменять файлы и каталоги, а также модифицировать атрибуты файловой системы.
Права на объект
Права на объект определяют, какие действия с данным объектом могут производить его опекуны. Права на объект контролируют объект как отдельный элемент дерева Каталога, но не предоставляют опекунам доступа к информации, хранящейся в свойствах объекта (если только у опекуна нет права Супервизор, включающего право Супервизор и на свойства объекта).
В приведенной ниже таблице перечислены права на объект, которые могут быть присвоены опекунам.
| Просмотр | Дает право видеть объект в дереве Каталога. Также позволяет пользователю, производящему поиск, видеть этот объект, если он удовлетворяет критериям поиска. (Это верно лишь при сравнении базового класса объекта или частичного имени, в остальных случаях требуется право Сравнение на свойства объекта). |
| Создание | Дает право создавать новый объект внутри объекта-контейнера в дереве Каталога. Это право применимо лишь к объектам-контейнерам, поскольку конечные объекты не могут включать в себя другие объекты. |
| Удаление | Дает право удалять объект из дерева Каталога. Однако объект-контейнер не может быть удален, если перед этим не были удалены все содержащиеся в нем объекты. Кроме того, для удаления объектов необходимо право Запись на все существующие свойства объекта. |
| Переименование | Дает право изменять частичное имя объекта, то есть изменять свойство имени. Это приводит к изменению полного имени объекта. |
| Супервизор | Предоставляет все права на объект и на все его свойства. Каждый, кто обладает правом Супервизор на какой-либо объект, может получить доступ ко всем свойствам этого объекта. Право Супервизор можно заблокировать при помощи фильтра наследуемых прав (IRF). |
Права на свойства
Если права на объект дают вам возможность видеть объект, удалять объект, создавать новый объект и т.д., то только право Супервизор на свойства позволяет видеть информацию, хранящуюся в свойствах объекта.
Для просмотра хранящейся в свойствах объекта информации необходимо иметь нужные права на свойства. Права на свойства контролируют доступ к каждому свойству объекта.
Права на свойства относятся не к самим объектам Каталога, а лишь к их свойствам. NDS предоставляет вам гибкие возможности при решении вопроса о том, к какой из хранящейся в свойствах информации смогут получать доступ другие пользователи.
В приведенной ниже таблице описаны права на свойства, которые можно присвоить опекуну.
| Добавление и Удаление себя | Позволяет добавлять или удалять самого себя в качестве значения свойства, однако не дает возможности изменять другие значения свойства. Это право используется только для тех свойств, где объект Пользователь может быть включен в список значений, например, для списков членов групп или списков рассылки. Это право включается в право Запись, то есть, если право Запись предоставлено, то операции Добавление и Удаление себя тоже разрешены. |
| Сравнение | Позволяет сравнивать любое значение со значением, хранящимся в свойстве. Результатом сравнения может быть Истина или Ложь, однако значения свойства получить нельзя. |
| Чтение | Позволяет считывать значение свойства. Это право также включает право Сравнение, то есть, если право Чтение предоставлено, операции сравнения тоже разрешены. |
| Супервизор | Предоставляет все права на данное свойство. Право Супервизор можно заблокировать при помощи фильтра наследуемых прав (IRF). |
| Запись | Позволяет добавлять, изменять или удалять любые значения свойства. Это право включает права Добавление и Удаление себя, то есть, если право Запись предоставлено, то операции Добавление и Удаление себя тоже разрешены. Право Запись на свойство Список управления доступом - то же самое, что и право Супервизор на объект, то есть право предоставлять права. |
Права на свойства могут быть назначены одним из двух следующих способов.
Опция Все свойства
Предоставляет выбранные вами права для всех свойств данного объекта. Например, установка Чтение всех свойств дает право просматривать значения всех свойств объекта. Опция Выбранные свойства
Назначает права только для указанных вами свойств. Предоставление прав на отдельные свойства переназначает все установки прав, сделанные при помощи опции Все свойства. Это дает возможность делать общие установки прав для группы объектов и установки для отдельных свойств выбранного объекта.
Права объекта Пользователь, предоставляемые при создании
Объекты Пользователь при создании по умолчанию наследуют такие права.
Table 8-3. Права объекта Пользователь
| Организация или Подразделение | Имя контейнера | Просмотр | Процедура регистрации: Чтение |
| Назначение каталога | Нет | Просмотр | Нет |
| Группа | [Root] | Просмотр | Члены: Чтение |
| Процедура профиля | Нет | Просмотр | Нет |
| Процедура пользователя | Имя пользователя | Просмотр | Все свойства: Чтение |
Права по умолчанию на объекты и свойства объектов
Права по умолчанию на объекты и свойства объектов NDS для заново создаваемых объектов перечислены в приведенной ниже таблице. Эти права указываются как элементы ACL в следующем формате.
Объект или свойство, имеющие права Объект или свойство, на которые имеются права Права по умолчанию
Термин [Entry Rights] обозначает права на сам объект, а [All Attribute Rights] обозначает права на все атрибуты объекта. Значения, не заключенные в скобки (например, Сетевой адрес), являются именами свойств.
Например, [Creator] объекта Группа имеет право Супервизор на права [Entry Rights] объекта, что означает, что создатель имеет право Супервизор на данный объект.
Объект [Root] имеет право Чтение на свойство объекта Член, что означает, что любой пользователь может считывать информацию о членстве в группе.
| Сервер AFP | [Creator], [Entry Rights], [S] [Self], [Entry Rights], [S] | [Public], Сервер обмена сообщениями, [R] [Public], Сетевой адрес, [R] |
| Псевдоним | [Creator], [Entry Rights], [S] | |
| Файл ревизии | [Creator], [Entry Rights], [S] | |
| Объект Bindery | [Creator], [Entry Rights], [S] | |
| Очередь Bindery | [Creator], [Entry Rights], [S] | [Root], [All Attribute Rights], [R] |
| Компьютер | [Creator], [Entry Rights], [S] | |
| Страна | [Creator], [Entry Rights], [S] | |
| Назначение каталога | [Creator], [Entry Rights], [S] | |
| Внешний | [Creator], [Entry Rights], [S] | [Root], Член, [R] |
| Группа | [Creator], [Entry Rights], [S] | [Root], Член, [R] |
| Сервер NetWare | [Creator], [Entry Rights], [S] [Self], [Entry Rights], [S] | [Public], Сервер обмена сообщениями, [R] [Public], Сетевой адрес, [R] |
| Организация | [Creator], [Entry Rights], [S] | |
| Организационная функция | [Creator], [Entry Rights], [S] | |
| Подразделение | [Creator], [Entry Rights], [S] | [Self], Процедура регистрации, [R] |
| Сервер печати | [Creator], [Entry Rights], [S] [Self], [Entry Rights], [S] | [Public], Сетевой адрес, [R] |
| Принтер | [Creator], [Entry Rights], [S] | |
| Профиль | [Creator], [Entry Rights], [S] | |
| Очередь | [Creator], [Entry Rights], [S] | [Root], [All Attribute Rights], [R] |
| Пользователь | [Creator], [Entry Rights], [S] [Root], [Entry Rights], [B] | [Public], Сервер обмена сообщениями, [R] [Root], Членство в группе, [R] [Public], Сетевой адрес, [R] [Self], [All Attribute Rights], [R] [Self], Процедура регистрации, [R,W] [Self], Конфигурация заданий печати, [R,W] |
| Том | [Creator], [Entry Rights], [S] | [Root], Имя хост-ресурса, [R,W] [Root], Хост-сервер, [R,W] |
Для объектов, созданных при инсталляции NetWare 4, [Creator] - это объект Пользователь ADMIN.
NOTE: Возможность создания пользователем объекта в первую очередь зависит от того, имеет ли пользователь право Создание для контейнера, где создается объект.
При создании объекта сервер оптимизирует ACL для удаления ненужных элементов. Обычно это означает, что удаляется вхождение "[Creator], [Entry Rights], [S]", поскольку в большинстве случаев создатель объекта имеет права Супервизор на контейнер, где находится этот объект, и поэтому наследует право Супервизор на созданный объект.
Однако, если создатель обладает лишь правом Создание на контейнер, ACL сохраняет элемент "[Creator], [Entry Rights], [S]", поскольку в противном случае у создателя объекта не будет на этот объект никаких прав.
Таким образом, если вы создадите объект и установите для него фильтр наследуемых прав, есть вероятность, что вы больше не сможете получить доступ к объекту, даже если эти права будут предоставлены вам элементом ACL "[Creator], [Entry Rights], [S]".
WARNING: Действующие права могут быть либо получены при помощи эквивалентности по правам и наследования, либо явно предоставлены пользователю. При назначении прав для любого свойства объекта NDS следует помнить, каким образом вычисляются действующие права.
WARNING: Не делайте пользователей, не выполняющих административные функции, эквивалентными по правам объектам серверов NDS, например, Серверу NetWare, Серверу AFP или Серверу печати
WARNING: Вам не следует назначать объекту [Public] никаких прав, кроме тех, что присвоены по умолчанию. Любой пользователь, зарегистрирован он или нет, эквивалентен по правам объекту [Public]. Если вы хотите предоставить всем пользователям доступ к какому-либо свойству, лучше присвоить эти права объекту [Root] или контейнеру, где находятся эти пользователи.
Предварительные требования
Вам потребуются копии следующих документов планирования.
Предварительный проект структуры дерева Каталога Карты ресурсов Карты размещения Карты топологии локальных/глобальных сетей Организационные схемы Вы должны будете завершить проект дерева Каталога
Процедуры регистрации и профили
Процедуры регистрации определяют для пользователей назначения дисков, установки захвата и переменных. Они также могут вызывать меню и запускать программы. Чтобы упростить администрирование сети, пользователи и используемые ими ресурсами должны размещаться внутри объектов-контейнеров Подразделение.
Эффективное планирование сокращает время, необходимое
Эффективное планирование сокращает время, необходимое для управления инсталляцией NetWare 4, за счет размещения пользователей, служб и ресурсов в дереве поблизости друг от друга.
Это позволяет присваивать большинство прав контейнеру и передавать эти права вниз по дереву Каталога тем пользователям, которым они необходимы. Например, однократное присвоение прав контейнеру может обеспечить эффективное управление ресурсами, содержащимися в этом контейнере, что сокращает время, затрачиваемое на администрирование дерева Каталога, и снижает сетевой трафик.
Создание плана доступа
В этой главе описан процесс, используемый при создании плана доступа к сети. Здесь обсуждаются следующие темы.
На способ доступа к сетевым ресурсам сильно влияет глубина дерева Каталога и количество контейнеров.
В односерверных средах, где дерево каталога имеет всего один-два уровня, а требования к защите невелики, разработка плана доступа может и не потребоваться.
Создание процедур регистрации по местоположению
Объект Профиль также может использоваться для определения размещения ресурсов в соответствии с местоположением. Например, если на каждом этаже вашего офиса есть три принтера и три очереди печати, и вы хотите приписать конкретную группу пользователей к определенной очереди, вы можете воспользоваться объектом Профиль для захвата конкретной очереди печати. Для пользователей с установленным атрибутом профиля захват нужной очереди будет осуществляться автоматически.
Создание процедур специального назначения
Можно создавать объекты Профиль для процедур специального назначения, например, для установки параметров доступа к приложениям. Например, вы можете создать процедуру регистрации профиля, которая будет использоваться только администраторами, производящими резервное копирование. Такая процедура регистрации может создавать для этих пользователей специальные назначения дисков, обеспечивающие доступ к программам и утилитам резервного копирования.
Связь с первичными объектами
Необходимо знать, как объекты Псевдоним связаны с первичными объектами, на которые они указывают. Объекты Псевдоним могут иметь два различных состояния: имеющие ссылку и не имеющие ссылки .
Когда объект Псевдоним не имеет ссылки, операции, производимые над объектом Псевдоним, совершаются над свойствами первичного объекта. Это означает, что при внесении изменений в объект Псевдоним изменения на самом деле вносятся в первичный объект.
Если объект Псевдоним имеет ссылку, то операции, производимые над объектом Псевдоним, совершаются лишь над самим этим объектом. Такие действия, как перемещение, переименование и удаление, автоматически совершаются в режиме ссылки.
При удалении первичного объекта объект Псевдоним удаляется автоматически.
Типы клиентов NetWare
NetWare 4 поддерживает следующие типы клиентов NetWare
| DOS и Windows | Для клиентов под DOS и Windows, работающих с программным обеспечением NetWare Client 32TM, NetWare 4 обеспечивает полную поддержку NDS. Программное обеспечение NetWare Client 32 при работе под DOS и Windows поддерживает процедуры регистрации пользователей и контейнеров. NetWare 4 обеспечивает полную поддержку NDS также и для клиентов, работающих с программным обеспечением NetWare DOS Requester. NetWare DOS RequesterTM при работе под DOS и Windows поддерживает процедуры регистрации пользователей и контейнеров. |
| OS/2 | Для клиентов OS/2*, работающих с программным обеспечением OS/2 NetWare Requester, NetWare 4 обеспечивает полную поддержку NDS. OS/2 NetWare RequesterTM
поддерживает только процедуру регистрации пользователя и процедуру OS/2 по умолчанию. |
| Macintosh | Программное обеспечение NetWare Client for Mac OS предоставляет рабочим станциям Macintosh, работающим под управлением операционной систем System 7.5 или старше, доступ к NDS, и предоставляет пользователям привычный интерфейс к сервисам файлов и печати NetWare. Клиенты Macintosh не поддерживают процедур регистрации контейнеров и пользователей. Все назначения дисков и захваты портов обрабатываются при помощи расширения NetWare Aliases, которое позволяет пользователям создавать псевдонимы для файлов и папок на серверах NetWare. |
| NFS/UNIX | NetWare 4 обеспечивает клиентам NFS** полноценную регистрацию на базе Bindery. Доступ ко всем ресурсам осуществляется при помощи сервиса Bindery. Клиенты NFS не поддерживают процедур регистрации контейнеров и пользователей. Все назначения дисков и захваты портов обрабатываются при помощи индивидуальных профилей пользователей внутри самой операционной системы. |
Типы пользователей
Все сети поддерживают один или оба типа пользователей.
Локальный
Локальные пользователи является статическими, то есть в большинстве случаев получают доступ к сетевым ресурсам из одного и того же контекста Каталога. Для них необходимо, чтобы нужные им объекты были размещены в дереве в непосредственной близости от их объектов Пользователь. Кроме того, физические ресурсы, например, принтеры и приложения, должны храниться на или подсоединяться к тому серверу, к которому подключены эти пользователи. Мобильные
Мобильные пользователи обычно получают доступ к сетевым ресурсам из различных частей сети или дерева Каталога. Они могут физически находиться на другой территории, или логически размещаться в другой части дерева. Необходимо обеспечить им легкий доступ к физическим ресурсам сети и информации дерева Каталога.
Для мобильных пользователей требуется согласованная и несложная конфигурация сети. Объекты Каталога следует размещать в дереве одинаковым образом. Использование таких объектов доступа, как Псевдонимы, Назначения каталогов и Группы, должно быть согласованным по всему дереву Каталога.
Серверы приложений и рабочих групп по всей сети должны поддерживать идентичные файловые структуры, если это возможно.
Размещение объекта Псевдоним вблизи объекта [Root] упрощает регистрацию и аутентификацию мобильных пользователей. Это избавляет таких пользователей от необходимости запоминать свое полное имя (уникальное имя).
Рациональное размещение разделов в сети помогает мобильным пользователям находить в Каталоге нужную информацию.
Типы сетевых подключений
NetWare 4 поддерживает следующие типы сетевых подключений.
Подключенное (без регистрации)
NetWare 4 после загрузки программного обеспечения NetWare Client дает пользователям и другим сетевым ресурсам возможность просматривать дерево Каталога и производить поиск объектов. О каждом объекте доступна лишь ограниченная информация, однако операций с объектами производить нельзя. Лицензированных подключений не используется. Аутентифицированное
Для осуществления запроса к объекту Каталога необходимо установить аутентифицированное подключение. Такая операция называется вхождением проходящей. Примерами операции вхождения, требующей аутентификации, являются регистрация в сети и изменение свойства объекта. Лицензированных подключений не используется. Чтобы получить дополнительную информацию, см. . Лицензированное
После установки аутентифицированного подключения могут быть выполнены такие операции, как назначение сетевого диска и захват порта принтера. При осуществлении запроса к сетевому ресурсу, например, при назначении сетевого диска, используется лицензированное подключение.
NOTE: Загрузив утилиты с локального диска, администраторы могут просматривать дерево Каталога и управлять им, не используя лицензированного подключения.
Вопросы сетевого трафика
Необходимость активизировать сервис Bindery на всех или почти всех серверах для поддержки приложений, работающих только с Bindery, увеличивает нагрузку на сеть в связи с репликационным трафиком, обмен которым происходит между экземплярами раздела.
Чтобы уменьшить сетевой трафик, можно.
Продолжить разделение вниз по дереву, чтобы реплики одного раздела содержало как можно меньше серверов. Переместить приложения Bindery на отдельные серверы и разместить реплики только на этих серверах. Произвести модернизацию старых приложений, или приобрести новые приложения, способные работать с Каталогом.
| |
Возможные ограничения
Хотя сервис Bindery и дает пользователям возможность доступа к основанным на Bindery приложениям и ресурсам, следует помнить об его ограничениях.
и операционной системой NetWare. Все
Доступ к сетевым ресурсам и данным файловой системы в среде NetWare 4 управляется технологией Netware®
Directory ServicesTM
(NDSTM
) и операционной системой NetWare. Все сетевые ресурсы входят в единую информационную систему, представляемую деревом Каталога.
Все входящие в дерево логические и физические ресурсы представлены объектами, доступ и управление которыми можно осуществлять в соответствии с их местоположением в структуре дерева.
Данные сетевой файловой системы связаны с деревом Каталога при помощи объектов Том, и представлены в структуре дерева своей связью с соответствующим объектом Том.
Структура дерева Каталога позволяет организовывать ресурсы иерархически. Такая иерархическая структура обеспечивает логичный интуитивный доступ и управление сетевыми ресурсами и сервисами. Кроме того, такая структура дерева упрощает управление защитой, давая возможность производить администрирование на уровне контейнеров или отдельных объектов, в соответствии с потребностями вашей организации.
В процесс создания плана доступа входит ознакомление с доступом к сети в NetWare 4, определение потребностей в доступе, нахождение самой подходящей конфигурации и разработка системы управления доступом.
При создании плана доступа к сети необходимо помнить, что все права и установки доступа распространяются вниз по структуре дерева. Это означает, что при создании эффективного плана доступа к сети следует учитывать структуру дерева Каталога и глобальный доступ к ресурсам дерева.
Кроме того, создаваемый вами план доступа должен гарантировать наиболее эффективное использование процедур регистрации и глобальных объектов с целью обеспечения повсюду в сети быстрого доступа и надежной защиты, не требуя при этом излишних затрат на управление.
Защита файловой системы NetWare
Защита файловой системы NetWare действует на уровне сервера. На сервере содержатся тома, где хранятся каталоги, содержащие файлы. Защита файловой системы не пересекается со структурой защиты NDS.
Тем не менее доступ к файловой системе основан на тех же принципах, что и защита NDS. К этим основным принципам относятся назначения опекунов, наследование и эквивалентность по правам. Файловая система также использует фильтр наследуемых прав (IRF), участвующий в определении действующих прав.
NOTE: В предыдущих версиях NetWare IRF файловой системы назывался маской наследуемых прав (IRM).
Однако между защитой NDS и защитой файловой системы есть небольшие различия.
NDS имеет десять прав доступа, разделенных на две группы.
Объекты Свойства
Права не передаются из NDS в файловую систему, за исключением случая предоставления права Супервизор [S] на объект Сервер NetWare. Этим гарантируется право опекуна Супервизор [S] файловой системы на корневые каталоги всех томов сервера. Право Супервизор [S] объекта можно заблокировать при помощи фильтра наследуемых прав. Право Супервизор [S] файловой системы заблокировать при помощи фильтра наследуемых прав заблокировать нельзя.
Защита NDS
Доступ пользователя к конечным объектам и контейнерам после регистрации определяется структурой защиты NDS. Основой защиты NDS является список управления доступом (ACL).
ACL - это свойство каждого объекта Каталога. Оно определяет, кто может получать доступ к объекту (опекуны) и какие действия каждый опекун может производить (права).
Объекты, перечисленные в ACL какого-либо объекта, могут иметь различные права на свойства этого объекта. Например, если в ACL объекта Принтер перечислено десять пользователей, каждый из этих десяти пользователей может иметь различные права на данный объект и его свойства. Один пользователь может иметь право Чтение, другой - право Удаление и т.п.
Чтобы изменить уровень доступа опекуна к объекту, необходимо модифицировать элемент опекуна в ACL этого объекта. Назначения опекунов и фильтр наследуемых прав могут изменять только те опекуны, которые имеют право Запись на свойство ACL.
В ACL имеются два типа прав.
Права на объект
Определяют опекунов объекта и действия, которые эти опекуны могут совершать с этим объектом. Права на свойства
Ограничивают доступ опекунов к отдельным свойствам объекта.
Иными словами, права на объект определяют, кто может получать доступ к объекту, и какие действия с этим объектом можно производить. Права на свойства уточняют область контроля доступом, определяя свойства объекта, к которым можно получить доступ.
Защита NDS и файловой системы
NetWare 4 поддерживает два отдельных вида защиты - для дерева Каталога и для файловой системы.
Защита NDS воздействует на управление деревом Каталога и входящими в него объектами. Защита этого типа используется для управления объектами Каталога и их свойствами, например, для доступа к свойствам объектов Каталога, процедурам регистрации и т.д.
Защита файловой системы NetWare влияет на то, как объекты Каталога получают доступ к расположенным на сетевых томах файлам и каталогам. Защита этого типа обеспечивает управление прикладными программами и файлами данных, хранящимися на сетевых серверах.
Защита файловой системы в NetWare 4 осталась практически такой же, что и в предыдущих версиях NetWare. Для поддержки таких функций, как сжатие данных и миграция данных, было добавлено несколько новых атрибутов.
Защита NDS и защита файловой системы основаны на одних и тех же принципах, но работают независимо друг от друга. Это позволяет управлять сетевыми ресурсами и данными вместе или по отдельности.
Общими принципами защиты NDS и файловой системы являются.
Назначения опекунов Наследование Фильтр наследуемых прав (IRF) Эквивалентность по правам Действующие права
Значения по умолчанию
Новый пользователь обладает достаточными правами для чтения всех своих свойств, но может просматривать только информацию о членстве в группах, сетевых адресах и сервере по умолчанию для других пользователей. Процедура регистрации является единственным явно прописанным для чтения свойством, определенным для объектов-контейнеров.
Прежде чем свойство может быть использовано (в том числе совместно), администраторы NetWare должны назначить "явного опекуна" этого свойства. Например, конфигурация заданий печати не будет работать, будучи определена на уровне контейнера и не присвоена конкретному пользователю.
