Основные средства защиты в NetWare
Операционная система NetWare предоставляет пользователю сети четыре уровня защиты:
§ защита именем регистрации и паролем;
§ защита правами опекунства;
§ защита каталогов фильтром наследуемых прав;
§ защита каталогов и файлов при помощи атрибутов.
Эти уровни можно использовать как отдельно, так и в различных комбинациях.
При создании определенной структуры ЛВС администратор сети должен определить группы, состав групп и установить права для групп и пользователей в файлах и каталогах.
Защита именем регистрации и паролем.Эта защита устанавливается администратором сети с помощью утилиты NETADMIN в режиме "возможности супервизора". С ее же помощью устанавливается ограничение числа конкурирующих соединений и числа допустимых вводов неправильного пароля. Эти ограничения вводятся для всех пользователей.
Ограничение времени доступа в сеть может быть установлено как для отдельных пользователей, так и для групп пользователей.
Внимание! Пользователь всегда может получить сведения о своей рабочей станции после подключения к сети с помощью утилиты WHOAMI.
Опекунские права (Trustee Rights).Опекунские права предоставляются для работы с файлами определенного каталога. При получении прав в некотором каталоге пользователь автоматически получает те же права и во всех его подкаталогах. Опекунские права можно также назначать и на отдельные файлы.
Можно назначать опекунские права и пользователям, и группам. Групповое право автоматически распространяется на всех членов группы.
Операционная система NetWare предусматривает назначение восьми типов опекунских прав:
§ S (Supervisor) – супервизорное право;
§ R (Read) – чтение из файла;
§ W (Write) – запись в файл;
§ A (Access Control) – контроль доступа;
§ С (Create) – создание новых файлов и каталогов;
§ Е (Erase) – удаление файлов и каталогов;
§ F (File Scan) – поиск файлов и каталогов;
§ М (Modify) – модификация атрибутов файлов, переименование файлов и каталогов.
Внимание! Супервизорное право (S) позволяет: создавать, переименовывать и стирать подкаталоги в данном каталоге, устанавливать опекунские права и фильтр прав, восстанавливать любые другие права в нем.
Право контроль доступа (А) дает возможность назначать любые права другим опекунам. В реальной работе сети пользователю назначается комбинация этих прав.
Фильтр наследуемых прав (Inherited Rights Filter).На каталоги и всех опекунов в подкаталогах влияет специально устанавливаемый фильтр наследуемых прав. Максимально фильтр включает все опекунские права и сокращенно записывается в виде : [SRWCEMFA]. Каждая буква соответствует начальной в названии опекунского права.
При создании подкаталога ему присваиваются максимальные права, которые в дальнейшем можно изменить. Фильтр наследуемых прав позволяет фильтровать права только сверху вниз.
Изменение фильтра можно выполнить с помощью команды MAP или утилиты FILER.
Запомните! Фильтр наследуемых прав используется только для уменьшения прав. Права, отфильтрованные маской, не могут появиться вновь на нижних уровнях системы каталогов.
Обычно фильтр наследуемых прав применяют для каталогов, которые совместно используются многими пользователями сети. Накладывая ограничения на такие каталоги, администратор сети точно знает, что пользователи смогут выполнять в подкаталогах только те работы, которые им разрешены.
При установке фильтра изъятые права обозначены символом подчеркивания.
Пример 6.19.При создании каталога пользователь унаследовал права [ _RWCEMFA].
Но администратором на каталог пользователя наложена маска [ _R_ _ _ _F_ ]. Это значит, что ему в данном каталоге разрешается поиск файлов и просмотр информации в них. Фильтр пропускает только те права из списка максимальных, которые в нем указаны.
Пользователь сети должен знать свои эффективные права.
Эффективные права– права, которые в действительности получает пользователь на данный каталог и файл.
Для определения эффективных прав необходимо знать:
§ назначенные опекунские права пользователя;
§ назначенные опекунские права для группы;
§ фильтр наследуемых прав.
Запомните! Пользователь получает все права той группы, в которую он входит, дополнительно к своим собственным. Эффективные права определяются суммой пользовательских и групповых, если нет фильтра наследуемых прав.