Основные средства защиты в NetWare

Операционная система NetWare предоставляет пользователю сети четыре уровня защиты:

• защита именем регистрации и паролем;

• защита правами опекунства;

• защита каталогов фильтром наследуемых прав;

• защита каталогов и файлов при помощи атрибутов.

Эти уровни можно использовать как отдельно, так и в различных комбинациях.

При создании определенной структуры ЛВС администратор сети должен определить группы, состав групп и установить права для групп и пользователей в файлах и каталогах.

Защита именем регистрации и паролем. Эта защита устанавливается администрато­ром сети с помощью утилиты NETADMIN в режиме "возможности супервизора". С ее же помощью устанавливается ограничение числа конкурирующих соединений и числа допус­тимых вводов неправильного пароля. Эти ограничения вводятся для всех пользователей.

Ограничение времени доступа в сеть может быть установлено как для отдельных пользователей, так и для групп пользователей.

Внимание! Пользователь всегда может получить сведения о своей рабочей станции после подключения к сети с помощью утилиты WHOAMI.

Опекунские права (Trustee Rights). Опекунские права предоставляются для работы с файлами определенного каталога. При получении прав в некотором каталоге пользователь автоматически получает те же права и во всех его подкаталогах. Опекунские права можно также назначать и на отдельные файлы.

Можно назначать опекунские права и пользователям, и группам. Групповое право автоматически распространяется на всех членов группы.

Операционная система NetWare предусматривает назначение восьми типов опекун­ских прав:

• S (Supervisor) — супервизорное право;

• R (Read) — чтение из файла;

• W (Write) — запись в файл;

• A (Access Control) — контроль доступа;

• С (Create) — создание новых файлов и каталогов;

• Е (Erase) — удаление файлов и каталогов;

• F (File Scan) — поиск файлов и каталогов;

• М (Modify) — модификация атрибутов файлов, переименование файлов и каталогов.

Внимание! Супервизорное право (S) позволяет: создавать, пере­именовывать и стирать подкаталоги в данном каталоге, уста­навливать опекунские права и фильтр прав, восстанавливать любые другие права в нем.

Право контроль доступа (А) дает возможность назначать любые права дру­гим опекунам. В реальной работе сети пользователю назначается комбинация этих прав.

Фильтр наследуемых прав (Inherited Rights Filter). На каталоги и всех опекунов в подкаталогах влияет специально устанавливаемый фильтр наследуемых прав. Максимально фильтр включает все опекунские права и сокращенно записывается в виде : [SRWCEMFA]. Каждая буква соответствует начальной в названии опекунского права.

При создании подкаталога ему присваиваются максимальные права, которые в даль­нейшем можно изменить. Фильтр наследуемых прав позволяет фильтровать права только сверху вниз.

Изменение фильтра можно выполнить с помощью команды MAP или утилиты FILER.

Запомните! Фильтр наследуемых прав используется только для уменьшения прав. Права, отфильтрованные маской, не могут по­явиться вновь на нижних уровнях системы каталогов.

Обычно фильтр наследуемых прав применяют для каталогов, которые совместно ис­пользуются многими пользователями сети. Накладывая ограничения на такие каталоги, ад­министратор сети точно знает, что пользователи смогут выполнять в подкаталогах только те работы, которые им разрешены.

При установке фильтра изъятые права обозначены символом подчеркивания.

Пример 6.19. При создании каталога пользователь унаследовал права [_RWCEMFA]. Но администратором на каталог пользователя наложена маска [ _R_ _ _ _F_ ]. Это значит, что ему в данном каталоге разрешается поиск файлов и просмотр информации в них. Фильтр пропускает только те права из списка максимальных, которые в нем указаны.

Пользователь сети должен знать свои эффективные права.

Эффективные права — права, которые в действительности получает поль­зователь на данный каталог и файл.

Для определения эффективных прав необходимо знать:

• назначенные опекунские права пользователя;

• назначенные опекунские права для группы;

• фильтр наследуемых прав.

Запомните! Пользователь получает все права той группы, в которую он входит, дополнительно к своим собственным. Эф­фективные права определяются суммой пользовательских и групповых, если нет фильтра наследуемых прав.

Пример 6.20.

Пользовательские права [_R_ CE_ FJ.

Групповые права [_RW _ MFJ.

Эффективные права [JWCEMFJ.

Запомните! Если введен фильтр наследуемых прав, пользова­тель получает эффективные права, являющиеся результатом отфильтровывания унаследованных прав каталога фильтром. Вниз пропускаются те права, которые совпадают с правами в фильтре.

Пример 6.21.

Права, унаследованные из каталога [_RWCEMF_].

Фильтр наследуемых прав каталога [SRW_ _ _ F_].

Эффективные права пользователя [­_RW_ _ _ F].

Запомните! Пользователь с правами супервизора имеет все права в системе каталогов, расположенных ниже того, где ему было предоставлено это право. Оно не может быть ограничено на более низких уровнях структуры каталогов.

Просмотр, назначение и удаление прав. В операционной системе NetWare пользова­тель может просмотреть свои права в разных каталогах с помощью утилиты NETADMIN.

Установка маски прав, назначение опекунов каталогам и изменение опекунских прав производятся с помощью утилиты FILER. Эта же утилита позволяет определить пользовате­лю свои эффективные права.

Кроме утилит-меню для выполнения указанных операций можно использовать и ути­литы командной строки RIGHTS.

Утилита RIGHTS обеспечивает выполнение следующих функций:

• назначение опекунских прав для отдельных пользователей и групп пользователей;

• удаление пользователя или группы пользователей из списка опекунов данного каталога;

• удаление опекунских прав в каталоге;

• вывод на экран списка опекунов какого-либо каталога;

• вывод на экран эффективных прав пользователя в каталоге.

Права, устанавливаемые по умолчанию. Как было сказано ранее, после установки на файл-сервере сетевой операционной системы NetWare автоматически создаются том SYS: и каталоги LOGIN, PUBLIC, SYSTEM, MAIL.

В сети существует администратор Supervisor с заданным при первом входе в сеть па­ролем.

Для возможности работы в сети предоставляются автоматически определенные права. Supervisor получает все права во всех каталогах, вновь создаваемые пользователи — все права в каталоге MAIL и права поиска и чтения в каталогах LOGIN и PUBLIC.

В каталоге SYSTEM, кроме администратора Supervisor, никто никаких прав не имеет.

Защита файлов и каталогов атрибутами. При работе в вычислительной сети прихо­дится разделять большие информационные файлы, к которым имеет доступ много пользо­вателей. При разрушении или искажении информации файла восстановить его в прежнем состоянии практически невозможно.

С этой целью в сети NetWare введена защита файлов и каталогов атрибутами. Приме­нение атрибутов дает пользователям возможность регулировать процесс совместного ис­пользования его личных файлов и каталогов и модификации их.

Для защиты файлов имеются 13 атрибутов, но чаще всего применяются следующие шесть атрибутов:

• Read-Write(Rw) — файл для чтения и записи;

• Read-Only (Ro) — файлы только для чтения;

• Shareable (Sh) — разделяемые файлы;

• Delete Inhibit (Di) — удаление файла запрещено;

• Rename Inhibit (Ri) — переименование файла запрещено;

• System File (Sy) — скрытый системный файл.

Любой вновь созданный файл по умолчанию получает атрибуты Read-Write, и он яв­ляется файлом неразделяемым.

Запомните! Атрибуты файлов можно установить либо коман­дой FLAG, либо утилитой FILER.

Для каталогов могут быть установлены девять атрибутов, основными из которых являются:

• Normal (N) — нормальный, никаких атрибутов не устанавливается;

• Hidden (H) — скрытый каталог, после ввода команды DIR не отображается;

• System (Sy) — скрытый каталог, используемый операционной системой;

• Rename Inhibit (Ri) — переименование каталога запрещено;

• Delete Inhibit (Di) — удаление командой RD запрещено;

• Purge (P) — удаляемый каталог, восстановлению не подлежит.

Запомните!Атрибуты каталогов устанавливаются с помощью утилиты FLAG. Работать с ней может только пользователь, обла­дающий правом Modify (M) в родительском каталоге.

К содержанию

Не нашли, что искали? Воспользуйтесь поиском по сайту: