5.6. Система безопасности NOVELL NW 4х.

В NW4x различаются следующие категории защиты в сети:

1)   защита при регистрации;

2)    защита опекунством ;

3)    защита наследованием прав ;

4)   защита действительными правами ;

5)    защита атрибутами ;

6)   защита консоли файл -сервера;

1.    Защита при регистрации

                Каждый пользователь, желающий работать в сети должен быть зарегистрирован в сети. Для этого создается спец. счет: ACCOUNT, в котором указывается регистрационное имя login name Для каждого пользователя устанавливается пароль для ограниченного доступа пользователей. Пароль - уникальное имя, содержащее не менее 6 символов.

Ограничения:

для обеспечения дополнительной защиты при регистрации пользователя для каждого пользователя вводятся ограничения.

1.   Account disabled (заблокировать счет ) - невозможно зарегистрироваться под  своим именем.

2.   Account has expiration date - счет имеет дату истечения срока регистраций.

3.   Concurrent Registrations - ограничение на число одновременных (с различных рабочих станций).

4.   Time Restrictions - указывает временное ограничение на регистрацию.

5.   Station Restrictions - указывается с каких станций может осуществиться регистрация.

6.   Intruder Lockout Status - препятствует взлому защиты при попытке регистрации сторонними лицами. Если в течение заданного интервала времени пользователь неправильно вводит пароль, то счет блокируется. Для разблокирования необходимо вмешательства администратора.

7.   Require password - требует пароль

8.   Minim al password length - задание минимальной длины пароля (по умолчанию -6).

9.   Разрешение на смену пароля (По умолчанию - да  -можно сменить пароль ).

10. Периодическое изменение пароля для обеспечения секретности.

11. Grace logins (льготная регистрация )- число регистраций со старым паролем после истечения срока его действия.

2)   Защита опекунством.

                Под этим понимается назначение индивидуальных прав пользователям на некоторые объекты, каталоги и файлы.

Каждому объекту могут быть назначены опекуны объекта с соответствующими правами на этот объект. Установка опекунов назначается в определенном св-ве объекта: записывается в списке контроля доступа

Существует 4 вида прав опекунов:

1.   права на каталоги;

2.   права на файлы;

3.   права на объекты;

4.   права на св-ва объектов.

Права на каталоги и файлы

1.   Супервизор - все права на соответствующий каталог и входящие в него подкаталоги и файлы

2.   READ - право на чтение содержимого каталога

3.   WRITE - право на запись в каталог

4.   Create - право на создание каталогов и файлов в каталоге. Позволяет создать подкаталог или файл, но нет права открывать их или вносить изменения

5.   ERASE - право на удаление

6.   Access Control - имеет право контроля доступа, т.е. опекун с этим правом устанавливает права доступа другим лицам.

7.   Modify - дает возможность устанавливать и менять атрибуты.

8.   File Scan - право просмотра списка подкаталогов и файлов.

Допустимые права на файлы:

Те же, что и на каталоги.

Create -  не означает, что можете создать файл. Означает, что можете восстановить удаленный файл с помощью утилиты salvage, т.е. отменить удаление файла. Все остальные права - аналогично каталогам

3.   Наследование прав на каталоги и файлы

Права, предоставленные пользователю на каталоги, наследуются по нисходящей на подкаталоги и файлы.

При этом для определения, какие права передаются вниз, определяется с помощью фильтра наследуемых прав. Рассмотрим основные правила определения прав на подкаталоги и файлы

1)   Если пользователю устанавливаются опекунские права явно на некоторый файл, то его действительные права  совпадают с правами опекуна.

2)   Если пользователь имеет право s на каталог, то это право наследуется на все входящие в него подкаталоги и файлы. На него не влияет состояние IRF (нельзя отменить с помощью фильтра наследование права S).

3)   Если на файл в каталоге не было предоставлено ни явных прав опекуна, ни права S на каталог, то действительные права на файл образуются путем взаимодействия действительных прав на каталог и IRF данного файла. Каждый файл обладает собственным IRF, который может быть изменен независимо от других файлов. По умолчанию IRF каждого файла содержит все права и в таком случае права на каталог будут автоматически наследоваться на файлы этого каталога.

4)   Если IRF не содержит все права, то действительные права на файл получаются в результате осуществления операции логического <эи> действительных прав на каталог и содержимого IRF.

Предоставление прав через группы.

Один из удобных способов назначения прав - это создание группы. При этом группе предоставляется некоторые права на определенный файл. Например, пользователь обладает правами на некоторый файл. Кроме того user - член группы students-for-labs. Группа имеет следующие права на файл [CEMF]. Действительные права usera: в данном случае непосредственно предоставляемые пользователю права опекуна на каталог и права опекуна в группе суммируются.

Использование контейнера в качестве группы.

Если назначаются права некоторому контейнеру, то устанавливаются права для всех объектов, входящих в данный контейнерный объект. Например, если для контейнерного объекта ММСА назначить права на некоторый каталог MMSA/SYS:/PUBLIC, то тем самым все объекты, входящие в ММСА будут обладать этими правами. В данном случае контейнер выступает в виде группы.

Если данный объект перемещается из одного контейнера в другой, то все права как члена группы теряются.

Пример:

Объект [root]

Если объект [root] назначить опекуном некоторого каталога, то все объекты NDS будут пользоваться правами [root]-a. Если объект [root] назначить опекуном каталога SYS:/PUBLIC с правами [R F], то все объекты будут обладать соответствующими правами.