Контекст каталога и уровни конфиденциальности

Флаг конфиденциальности указывает вид копии каталога, который требуется при выполнении запроса к Directory Services. Вы можете задать высокий и низкий уровень конфиденциальности. Высокий уровень указывает, что возвращаемая в ответ на запрос информация должна извлекаться из основной копии, а не вспомогательной копии, доступной только по чтению. По умолчанию задается низкий уровень конфиденциальности, что позволяет получать ответы из копий соответствующего типа. Запросы на чтение могут обрабатываться копиями, доступными только по чтению, запросы на добавление требуют вспомогательной или основной копии и т.д.

Защита доступа к Directory Information Base

Возможность доступа к объектам базы данных DIB (Directory Information Base) и ее атрибутам непосредственно зависит от полномочий, предоставленных каждому конкретному объекту. Для реализации и изменения средств защиты, достаточных для стоящей перед вами задачи, можно использовать Directory Access Services.

Управление доступом к службе каталогов

Служба каталогов Directory Services предлагает детально разработанные и специализированные средства защиты доступа. Любому объекту можно предоставить конкретные полномочия на доступ к любому другому объекту или атрибуту. Это делается с помощью атрибута ACL (Access Control List).

Иметь атрибут ACL может каждый объект. Значения этого атрибута определяют полномочия, которые имеют над этим объектам другие объекты. ACL содержит не только назначения полномочий, но также маски и в отдельных обстоятельствах ограничения полномочий.

Кроме присваивания полномочий непосредственно объекту, вы можете присваивать их с помощью эквивалентности защиты (Sequrity Equals) и назначений через членство в группе (Group Membership). Атрибуты ACL, Group Membarship и Security Equals. Если полномочия объектам в ACL не присваиваются, то полномочия доступа определяются путем наследования.

Ранее мы уже упоминали, что субъект - это объект, которому присвоены полномочия доступа к целевому объекту или атрибутам. Субъект, которому предоставлены полномочия просмотра, при выполнении функций перечисления и поиска может видеть целевой объект. Если просмотр данного целевого объекта для этого субъекта ограничен, то этот субъект не сможет видеть объект в списке, выполнять его поиск или использовать для него функции сравнения, даже если он может видеть все другие объекты в данной части дерева каталога. Чтобы видеть атрибуты, субъект должен иметь также привилегии Compare (сравнение) или Read (чтение). Чтобы считывать значения атрибутов, субъект должен иметь привилегии Read.

Полномочия Add (добавление) разрешает добавление подчиненных объектов.
Полномочия Delete (удаление) позволяют субъекту удалять сам объект.
Полномочия Rename (переименования) позволяет субъекту переименовыватьобъект.
Назначение Supervisor разрешает все полномочия доступа к объекту и его атрибутам.

Как можно ожидать, полномочия Supervisor не фильтруются маской наследования (IM). Фактически, маска наследования может использовать для фильтрации любого из указанных полномочий, исключая полномочия доступа Supervisor. Таким образом, если вы хотите предоставить объекту исключительный доступ к целевому объекту, вам следует отфильтровать все полномочия с помощью маски наследования и присвоить полномочия нужному объекту явным образом.

Интересным моментом во всей этой системы защиты является то, что сам список ACL является атрибутом. Это означает, что вы можете предоставить полномочия, позволяющие объектам изменять ACL. Объекты с такими полномочиями могут изменять ACL и ограничивать доступ к другим объектам. Поэтому предоставлять объекту полномочия Write на атрибут ACL нужно осторожно.

Создание групп и эквивалентов защиты

Сейчас это может уже быть достаточно очевидным, но пока об этом нигде не говорилось: способ задания для одного объекта защиты, эквивалентной другому объекту, и включение объекта в члены группы очень похоже на присваивание полномочий с помощью ACL. Так как эквивалентность защиты и членство в группе реализуется с помощью атрибутов, для получения нужного результата требуется только изменить соответствующий атрибут.

При изменении членства в группе нужно учитывать еще один момент. Список групп, членом которых объект является, и список членов группы - это разные списки. Оба списка должны обновляться приложением. Членство в группе (Group Membership) представляет собой атрибут объекта пользователя и содержит идентификацию групп, членом которых является пользователь. Атрибут член группы (Member) - это атрибут объекта группы, который содержит идентификацию объектов, являющихся членами группы.

В итоге, в дереве каталога полномочия доступа вы можете получить:

• от объектов, которым вы подчиняетесь;
• от объектов, к которым вы приравнены по защите;
• от объектов, членами группы которых вы являетесь;
• путем прямого присваивания.

 

Изменение пароля

В какой-то момент может потребоваться сменить пароль. Возможно, вы являетесь администратором и не хотите, чтобы пользователь об этом знал. Возможно вы работаете с сервером в особом режиме, и каждый раз, когда вы действуете от имени клиента, то изменяете свой объект пользователя. Либо вам требуется просто написать собственную утилиты консоли, работающую в режиме командной строки и служащую для изменения паролей пользователей.

 

Смену кем-либо пароля предотвращает тот факт, что он не знает ваш текущий пароль, а полномочия доступа можно использовать для того, чтобы ваш объект не могли просматривать. Если не будет указан старый пароль, с помощью вызова функции NWDSChangeObjectPassword изменить пароль нельзя. Однако, пароль можно сменить другим способом. Изменение ключевой пары меняет пароль и не требует знания существующего пароля.

 

DIB (Directory Information Base) - это мощная база данных, централизующая операции в сети Novell. Она обладает встроенной гибкостью, облегчающей организацию и поддержку доступа пользователей и защиту. Разделы могут помочь вам улучшить эффективность и надежность вашей DIB путем размещения их на серверах ближе к пользователям, которые к ним обращаются, и создания копий, хранимых на разных машинах.

 

NDS и Bindery

NDS (NetWare Directory Services) - это появившаяся в NetWare 4.0 служба каталогов, которая значительно облегчает доступ пользователя к сети. Directory Services включает в себя службы, предусмотренные для хранения и отслеживания всех объектов в сети. Вместе с Directory Services поставляется база данных DIB (Directory Information Base. DIB - это база данных, используемая для хранения информации о серверах и службах, а также пользователях, принтерах, шлюзах и др.

 

DIB представляет собой распределенную базу данных. Независимо от того, где хранятся данные, доступ к ним можно получить из любого места сети. Directory Services - это та часть NetWare, которая отслеживает эти данных и позволяет с ними взаимодействовать. Чтобы они могли работать, все серверы NetWare 4.0 должны иметь загруженное средство Directory Services. Это превращает каждый сервер NetWare 4.0 в сервер каталога. Поскольку он обслуживает именованные объекты каталога, NetWare-сервер называют иногда также сервером имен. Часто " сервер" означает машину, которой посылается запрос. Если вы запрашиваете средства NDS, то сервер означает сервер каталога. Если вы запрашиваете файловые средства, то сервер означает файловый сервер и т.д.

Отличие DIB от Bindery

Вы можете подумать, что в версиях, предшествующих NetWare 4.0, уже предусматривались те же данные, которые можно найти в DIB. Во многом это соответствует истине. Такой вид информации традиционно хранился в NetWare Bindery. Для чего же потребовался переход на DIB? Ведь назначение Bindery совпадает с назначением Directory Services.

Различия заключаются в том, что DIB - это распределенная база данных, которую можно разбивать на несколько частей. Она обеспечивает более гибкий доступ и более специализированную защиту. Вместо простой файловой структуры DIB использует объектно-ориентированную структуру. Кроме того, в то время как доступ к базе объектов Bindery ориентирован на сервер, для доступа к DIB можно использовать всю сеть. Информация в Bindery на серверах относится в основном к самому серверу. Серверы с информацией DIB хранят данные о всей сети.

Эмуляция Bindery

В мире развивающейся технологии очень важное значение имеет поддержание совместимости с предыдущими версиями продуктов. Поскольку технология Bindery будет продолжать использоваться еще достаточно долгое время, нужен, конечно, способ взаимодействия серверов с Bindery с серверами DIB и наоборот.

Независимыми разработчиками уже написаны некоторые программы и средства, обращающиеся к Bindery. Если бы NetWare 4.0 не имела в Directory Services средств эмуляции Bindery, они не смогли бы там работать. Основываясь на контексте Bindery для целевых серверов NetWare 4.0, эта эмуляция может быть активной или неактивной. (Эта тема обсуждается в инструкциях по установке NetWare 4.0). Не путайте контекст объекта (каким является контекст объекта Bindery) с контекстом нити (о котором мы говорили выше). Это два совершенно разных контекста.

При разрешении эмуляции Bindery служба каталогов NDS воспринимает запрос Bindery и отвечает на него таким же образом, как если бы на опрашиваемом NetWare-сервере был Bindery. Однако фактически информация, получаемая по запросу Bindery, может на сервере отсутствовать. Вспомните о том, что Directory - это разбитая на разделы и распределенная база данных. Даже если не сервере NetWare 4.0 не работает Bindery, приложение, давшее запрос Bindery, разницы не почувствует.

В новых программах следует использовать NDS. Хотя объекты в существующих базах Bindery и доступны черед NDS, но лучше обращаться непосредственно к NDS (к Directory).

 

 

Заключение

В данной главе вы познакомились с тем, что представляет собой схема каталога, и как она используется. Здесь поясняется работа с разделами, так что вы должны получить хорошее представление об их природе и важности.

Познакомившись со средствами защиты и управления доступом к DIB, вы можете более смело применять эти средства в своих NLM-приложениях. Для программистов предусмотрен полный набор API, облегчающий программирование службы каталогов NetWare 4.0.

Здесь поясняется, что такое контекст каталога. Это позволяет понять, почему так важно уметь с ним работать. Мы рассказали о том, как можно обращаться к DIB и управлять ей. Это включает в себя применение к объекту защиты и уровней атрибутов, а также задание эквивалентов защиты. Описываются методы и требования доступа к схеме.

В этой главе мы познакомили вас с наиболее ценным для изучения инструментальным средством. Использование программы DSSCRIPT существенно поможет вам в совершенствовании своих навыков программирования с использованием службы каталога NetWare 4.0.

 

 

 

⇐ Предыдущая1234

Поделиться: