5.6. Система безопасности NOVELL NW 4х.
В NW4x различаются следующие категории защиты в сети:
1) защита при регистрации;
2) защита опекунством ;
3) защита наследованием прав ;
4) защита действительными правами ;
5) защита атрибутами ;
6) защита консоли файл -сервера;
1. Защита при регистрации
Каждый пользователь, желающий работать в сети должен быть зарегистрирован в сети. Для этого создается спец. счет: ACCOUNT, в котором указывается регистрационное имя login name Для каждого пользователя устанавливается пароль для ограниченного доступа пользователей. Пароль - уникальное имя, содержащее не менее 6 символов.
Ограничения:
для обеспечения дополнительной защиты при регистрации пользователя для каждого пользователя вводятся ограничения.
1. Account disabled (заблокировать счет ) - невозможно зарегистрироваться под своим именем.
2. Account has expiration date - счет имеет дату истечения срока регистраций.
3. Concurrent Registrations - ограничение на число одновременных (с различных рабочих станций).
4. Time Restrictions - указывает временное ограничение на регистрацию.
5. Station Restrictions - указывается с каких станций может осуществиться регистрация.
6. Intruder Lockout Status - препятствует взлому защиты при попытке регистрации сторонними лицами. Если в течение заданного интервала времени пользователь неправильно вводит пароль, то счет блокируется. Для разблокирования необходимо вмешательства администратора.
7. Require password - требует пароль
8. Minim al password length - задание минимальной длины пароля (по умолчанию -6).
9. Разрешение на смену пароля (По умолчанию - да -можно сменить пароль ).
10. Периодическое изменение пароля для обеспечения секретности.
11. Grace logins (льготная регистрация )- число регистраций со старым паролем после истечения срока его действия.
2) Защита опекунством.
Под этим понимается назначение индивидуальных прав пользователям на некоторые объекты, каталоги и файлы.
Каждому объекту могут быть назначены опекуны объекта с соответствующими правами на этот объект. Установка опекунов назначается в определенном св-ве объекта: записывается в списке контроля доступа
Существует 4 вида прав опекунов:
1. права на каталоги;
2. права на файлы;
3. права на объекты;
4. права на св-ва объектов.
Права на каталоги и файлы
1. Супервизор - все права на соответствующий каталог и входящие в него подкаталоги и файлы
2. READ - право на чтение содержимого каталога
3. WRITE - право на запись в каталог
4. Create - право на создание каталогов и файлов в каталоге. Позволяет создать подкаталог или файл, но нет права открывать их или вносить изменения
5. ERASE - право на удаление
6. Access Control - имеет право контроля доступа, т.е. опекун с этим правом устанавливает права доступа другим лицам.
7. Modify - дает возможность устанавливать и менять атрибуты.
8. File Scan - право просмотра списка подкаталогов и файлов.
Допустимые права на файлы:
Те же, что и на каталоги.
Create - не означает, что можете создать файл. Означает, что можете восстановить удаленный файл с помощью утилиты salvage, т.е. отменить удаление файла. Все остальные права - аналогично каталогам
3. Наследование прав на каталоги и файлы
Права, предоставленные пользователю на каталоги, наследуются по нисходящей на подкаталоги и файлы.
При этом для определения, какие права передаются вниз, определяется с помощью фильтра наследуемых прав. Рассмотрим основные правила определения прав на подкаталоги и файлы
1) Если пользователю устанавливаются опекунские права явно на некоторый файл, то его действительные права совпадают с правами опекуна.
2) Если пользователь имеет право s на каталог, то это право наследуется на все входящие в него подкаталоги и файлы. На него не влияет состояние IRF (нельзя отменить с помощью фильтра наследование права S).
3) Если на файл в каталоге не было предоставлено ни явных прав опекуна, ни права S на каталог, то действительные права на файл образуются путем взаимодействия действительных прав на каталог и IRF данного файла. Каждый файл обладает собственным IRF, который может быть изменен независимо от других файлов. По умолчанию IRF каждого файла содержит все права и в таком случае права на каталог будут автоматически наследоваться на файлы этого каталога.
4) Если IRF не содержит все права, то действительные права на файл получаются в результате осуществления операции логического <эи> действительных прав на каталог и содержимого IRF.
Предоставление прав через группы.
Один из удобных способов назначения прав - это создание группы. При этом группе предоставляется некоторые права на определенный файл. Например, пользователь обладает правами на некоторый файл. Кроме того user - член группы students-for-labs. Группа имеет следующие права на файл [CEMF]. Действительные права usera: в данном случае непосредственно предоставляемые пользователю права опекуна на каталог и права опекуна в группе суммируются.
Использование контейнера в качестве группы.
Если назначаются права некоторому контейнеру, то устанавливаются права для всех объектов, входящих в данный контейнерный объект. Например, если для контейнерного объекта ММСА назначить права на некоторый каталог MMSA/SYS:/PUBLIC, то тем самым все объекты, входящие в ММСА будут обладать этими правами. В данном случае контейнер выступает в виде группы.
Если данный объект перемещается из одного контейнера в другой, то все права как члена группы теряются.
Пример:
Объект [root]
Если объект [root] назначить опекуном некоторого каталога, то все объекты NDS будут пользоваться правами [root]-a. Если объект [root] назначить опекуном каталога SYS:/PUBLIC с правами [R F], то все объекты будут обладать соответствующими правами.