Курс лекций «Проблемы безопасности в информационных технологиях»



жүктеу 4.51 Mb.
бет22/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   18   19   20   21   22   23   24   25   ...   44

Работа с Novell eDir


Разработав в своё время собственную службу каталога (раннее называвшуюся NDS), Novell стала одной из первых на рынке, кто предложил не просто концепцию, но и реально работающий продукт. Каталог eDir опережал микрософтовскую AD на несколько лет6, по многим технологическим, качественным параметрам (н-р, по возможностям масштабирования) eDir и сегодня значительно превосходит службу каталога от Microsoft.

Несомненно, за прошедшее с момента выхода Windows 2000, Microsoft значительно улучшила и модернизировала свою AD, но главные, фундаментальные принципы остались в ней неизменными. Например, уже упоминавшийся выше не полностью объектный подход, во многом благодаря которому основная тяжесть по администрированию в AD переносится на манипуляции с группами.

В отличие от AD, eDir можно считать полным, мощным и очень чистым примером объектного подхода. В подходе Novell нет возможности «вырастить» «лес», как в AD, в их реализации может существовать единственное дерево с одним корнем. Но, как показывает реальность, технология «лесов» оказывается не очень востребованной. Т.к. домены в AD по сути являются доменами в смысле DNS, сложно представить очень «глубокие» «раскидистые» деревья, организованные из множества доменов. Более того, не является большим секретом, что собственная внутренняя сеть корпорации Microsoft являет собой… один домен. И в руководствах по «выращиванию» леса от той же Microsoft можно прочитать рекомендации по возможности обходиться как можно меньшим количеством доменов и лесов. Отдельный лес вообще рекомендуется только в случае, когда вы хотите иметь отдельные границы безопасности для некоторой группы пользователей и сервисов.

Поэтому, несмотря на более примитивные возможности (точнее, невозможность) создания «лесов» в eDir, этот её «недостаток» на сегодня не видится сколь-нибудь значительным.

В eDir все объекты являются принципалами безопасности. Можно давать права (включать в ACL) абсолютно любой объект, как контейнерный, типа OU, O, [root], [public] так и конечный (leaf, листовой) – user, group, printer и др. В примере выше для AD, чтобы дать права на печать пользователям из конкретного OU (подразделения), приходилось всех пользователей этого OU включать в группу безопасности, а уже этой группе назначать права на принтер. В eDir достаточно дать права OU (включить её ID в ACL принтера) – и задача решена. Более того, при создании в eDir штатными средствами объекта типа «Принтер» по умолчанию OU, в котором создаётся принтер, автоматически вписывается в ACL принтера. Логика простая и понятная: если вы создаёте принтер в конкретном OU, логичным будет предположить, что на этом принтере будет печатать именно это подразделение.

У каждого объекта в eDir есть два набора прав: права на собственно объект и права на его свойства. Точно так же, как в файловой системе Netware, в каталоге eDir работает наследование, с динамической моделью (быстрое назначение – одна запись в один ACL). Есть механизм фильтра наследуемых прав – IRF, позволяющий маскировать отдельные биты в маске прав. Работают все механизмы с эквивалентностью по безопасности. Это означает, что если вы, например, назначили какие-то права подразделению (OU), то эти права получат все объекты, находящиеся «ниже» этого OU «вниз» по дереву. Главное – это фундаментальное свойство, следующее из объектной модели и эквивалентности по безопасности – дав права OU, вы не можете их уменьшить для нижележащих по иерархии объектов. И IRF, и явное назначение меняют то, НА ЧТО даныя права, но не КОМУ они даны. В eDir работает тот же принцип с явным назначением и наследованием, как в файловой системе Netware: явно назначенные права имеют приоритет перед правами, унаследованными «выше» по дереву. В таблице ниже приведён список возможных прав для объектов eDir:




Право

Обозначение

Описание

Supervisor

S

Гарантирует все привилегии по отношению к объекту и его свойствам. В отличие от файловой системы, это право может быть блокировано фильтром наследуемых прав IRF, который может быть назначен для каждого объекта

Browse

B

Обеспечивает просмотр объекта в дереве NDS

Create

C

Это право может быть назначено только по отношению к контейнерному объекту (контейнеру). Позволяет создавать объекты в данном объекте и во всех дочерних контейнерах

Delete

D

Позволяет удалять объект из дерева NDS

Rename

R

Позволяет изменять имя объекта

Inheritable

I

Сняв этот флаг, можно предотвратить наследование права на объект вниз по дереву.

Как отмечено в таблице, в eDir, в отличие от файловой системы, можно заблокировать право Supervisor. Это свойство даёт возможность разделить дерево каталога на ветки, каждую со своим администратором (назначается S для нужного контейнерного объекта, затем на том же уровне фильтром IRF блокируются права, «пришедшие» «сверху», от «корня»). Подобное разделение каталога на ветки, полные административные права на которых имеют разные объекты, принципиально невозможно в AD – там, несмотря на иерархию из OU, внутри домена существует, по сути, плоский список объектов (например, в домене нельзя иметь пользователей с одинаковыми именами, даже если они располагаются в разных подразделениях (OU)). Внутри домена AD администратор домена «всесилен», сократить ему права невозможно в принципе (административная граница в AD – домен, а в eDir границей может быть любой контейнерный объект).

В следующей таблице приведен список возможных прав на свойства объекта:


Право

Обозначение

Описание

Supervisor

S

Предоставляет опекуну полные права на выбранное свойство

Compare

C

Позволяет сравнить значение свойства с указанными данными. В ответ возвращается только true или false, как результат сравнения. Не позволяет опекуну видеть реальное значение свойства.

Read

R

Позволяет опекуну увидеть (прочитать) значение свойства. Включает в себя право Compare.

Write

W

Позволяет опекуну создавать, изменять и удалять значение свойства.

Add self

A

Позволяет опекуну добавить или удалить себя в значения свойства. Применимо только к свойствам, у которых в качестве значений используются имена, такие списки членов групп или Access Control Lists (ACLs).

Inheritable

I

Сняв этот флаг, можно предотвратить наследование права на свойство объекта вниз по дереву.

Права на свойства могут быть назначены индивидуально или на все свойства сразу (All properties). Право Supervisor, установленное на объект, даёт право Supervisor на все свойства объекта, но не наоборот – назначение S на свойства не даёт права S на сам объект.

Интересное свойство, логично вытекающее из объектной модели eDir: право Write на свойство ACL (это свойство обязательно есть у каждого объекта в eDir) эквивалентно праву Supervisor на сам объект. Логично, ведь если у опекуна есть возможность модифицировать ACL объекта, то это означает, что им в ACL может быть вписан любой объект с любыми правами, включая самого опекуна. Что и означает полные права на объект.

Количество и список свойств зависят от типа объекта. Типичная цифра для объекта типа user – несколько десятков. По умолчанию обычный объект пользователь сам на себя и на свои свойства имеет довольно ограниченные права.






Достарыңызбен бөлісу:
1   ...   18   19   20   21   22   23   24   25   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет