Справочник Novell Netware 4

       

Фильтры наследуемых полномочий



Теперь обсудим, как можно предотвратить безконтрольное наследование
полномочий. Для блокирования обычной передачи полномочий вниз
по дереву каталога используется фильтр (маска) наследуемых полномочий
IFR (Inherited Rights Filter). В общем случае, если пользователь
имеет на каталог полномочия Read, Write, Create и File Scan, то
он имеет эти полномочия и на подкаталоги данного каталога. Однако
некоторые из этих полномочий можно заблокировать с помощью IFR
(или присвоить для подкаталогов новые полномочия). Например, вы
можете блокировать полномочия Write и Create, предотвратив создание
и модификацию пользователем файлов в подкаталоге.

Наиболее важным в фильтрах IFR является то, что они принадлежат
объекту NetWare Directory Services или каталогу файловой системы
и могут применяться ко всем пользователям, которые имеют доступ
к объекту или каталогу.

IFR изменяет характер наследования полномочий доступа вниз по
структуре каталога и дереву NDS. Вы можете использовать IFR там,
где механизм наследования полномочий достаточен, но требуются
небольшие изменения. Отметим следующее:

  • Если IFR находится в объекте-контейнере, полномочия блокируются
    для этого объекта-контейнера и всего, что в нем находится. IFR
    объекта-контейнера блокирует полномочия объектов-листьев контейнера.
  • Каждый объект в каталоге имеет собственный фильтр наследуемых
    полномочий.
  • IFR или новое назначение полномочий не может блокировать полномочия
    Supervisor на каталоги. Эти полномочия наследуются всеми подкаталогами
    и всеми файлами. Однако IFR может блокировать супервизорные полномочия
    объекта.


Биты в фильтре полномочий определяются следующим образом:
+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+---+
¦ 15¦ 14¦ 13¦ 12¦ 11¦ 10¦ 9 ¦ 8 ¦ 7 ¦ 6 ¦ 5 ¦ 4 ¦ 3 ¦ 2 ¦ 1 ¦ 0 ¦
+---+---+---+---+---+---+---+--++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
Супервизор<- ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
(предоставляются все права) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦

Модификация<---- ¦ ¦ ¦ ¦ ¦ ¦ ¦
(могут модифицироваться ¦ ¦ ¦ ¦ ¦ ¦ ¦
атрибуты файлов) ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦
Наблюдение файла<-------- ¦ ¦ ¦ ¦ ¦ ¦
( файл можно видеть при ¦ ¦ ¦ ¦ ¦ ¦
просмотре каталога) ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦
Управление доступом<------------ ¦ ¦ ¦ ¦ ¦
(могут изменяться полномочия ¦ ¦ ¦ ¦ ¦
доступа) ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦
Удаление<---------------- ¦ ¦ ¦ ¦
(файл можно удалить) ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦
Создание<-------------------- ¦ ¦ ¦
(файл можно создать) ¦ ¦ ¦
¦ ¦ ¦
Зарезервирован<------------------------ ¦ ¦
¦ ¦
Запись<---------------------------- ¦
(допускается запись файлов) ¦
¦
Чтение<--------------------------------
(допускается чтение файлов)

Содержание раздела