Полномочия доступа и защита
Полномочия доступа и защита имеют для операционной системы жизненно
важное значение. При правильном управлении защитой предотвращение
потери или порчи данных из-за действий неуполномоченных пользователей
и их секретность будут обеспечены. Первая "линия обороны"
против неуполномоченных пользователей - это регистрация в системе
с помощью пароля. Кроме того, назначение полномочий доступа к
файлам позволяет ограничить доступ пользователей к файловой системе.
Полномочия доступа позволяют также управлять использованием различных
ресурсов сети. Полномочия доступа в NetWare группируются следующим
образом:
- полномочия доступа к объектам управляют доступом к объектам
системных ресурсов;
- полномочия владения управляют тем, кто может просматривать
и изменять характеристики объектов;
- полномочия SMS управляют доступом к объектам в приложениях
SMS (Storage Management System);
- полномочия доступа к каталогам определяют, кто может обращаться
к каталогам на томах (дисках) и файлам в них;
- права доступа к файлам обеспечивают контроль доступа к файлам
в каталогах на пофайловой основе.
При назначении пользователям полномочий доступа к каталогам, объектам
или файлам NetWare нужно учитывать ряд моментов. Право доступа
пользователя к объекту можно предоставить путем выбора или спецификации
объекта и назначением полномочий. Если пользователи имеют права
доступа к файлам и каталогам (Access Rights), то они могут назначить
полномочия доступа к этим объектам (изменив соответствующие их
характеристики).
Чтобы задать для объекта права доступа к нему, пользователь должен
иметь полномочия записи (Write) к списку управления доступом ALC
(Access Control List) объекта. Список ALC аналогичен списку полномочий
файлов и каталогов.
В случае каталогов и подкаталогов, если пользователь имеет определенные
полномочия в родительском каталоге, то эти полномочия он имеет
также в подкаталоге. Однако, чтобы ограничить его полномочия в
этом подкаталоге, супервизор может использовать фильтр IRF.
Фильтр наследуемых полномочий IRF (Inherited Rights Filter) определяет,
какие полномочий пользователи могут наследовать из порождающих
каталогов и объектов-контейнеров. Вы можете использовать IRF для
отмены некоторых или всех полномочий пользователя, наследуемых
из порождающего (родительского) каталога или объекта.
Действующие полномочия пользователя на доступ к файлу, каталогу
или объекту вычисляются на основе следующих параметров (по умолчанию
никаких полномочий кроме доступа пользователя с своему частному
каталогу и общедоступному каталогу ему не предоставляется):
- прав доступа, присвоенных каталогу, файлу или объекту;
- прав доступа к порождающему каталогу или объекту-контейнеру;
- прав доступа с перечисленным объектам, назначенным пользователю
или его группе;
- эквивалентов защиты пользователя;
- фильтра IRF для каталога, файла или объекта.
