Справочник Novell Netware 4

             

Управление доступом к службе каталогов



Служба каталогов Directory Services предлагает детально разработанные
и специализированные средства защиты доступа. Любому объекту можно
предоставить конкретные полномочия на доступ к любому другому
объекту или атрибуту. Это делается с помощью атрибута ACL (Access
Control List).

Иметь атрибут ACL может каждый объект. Значения этого атрибута
определяют полномочия, которые имеют над этим объектам другие
объекты. ACL содержит не только назначения полномочий, но также
маски и в отдельных обстоятельствах ограничения полномочий.

Кроме присваивания полномочий непосредственно объекту, вы можете


присваивать их с помощью эквивалентности защиты (Sequrity Equals)
и назначений через членство в группе (Group Membership). Атрибуты
ACL, Group Membarship и Security Equals. Если полномочия объектам
в ACL не присваиваются, то полномочия доступа определяются путем
наследования.

Ранее мы уже упоминали, что субъект - это объект, которому присвоены
полномочия доступа к целевому объекту или атрибутам. Субъект,
которому предоставлены полномочия просмотра, при выполнении функций
перечисления и поиска может видеть целевой объект. Если просмотр
данного целевого объекта для этого субъекта ограничен, то этот
субъект не сможет видеть объект в списке, выполнять его поиск
или использовать для него функции сравнения, даже если он может
видеть все другие объекты в данной части дерева каталога. Чтобы
видеть атрибуты, субъект должен иметь также привилегии Compare
(сравнение) или Read (чтение). Чтобы считывать значения атрибутов,
субъект должен иметь привилегии Read.

Полномочия Add (добавление) разрешает добавление подчиненных объектов.

Полномочия Delete (удаление) позволяют субъекту удалять сам объект.

Полномочия Rename (переименования) позволяет субъекту переименовыватьобъект.

Назначение Supervisor разрешает все полномочия доступа к объекту и его атрибутам.

Как можно ожидать, полномочия Supervisor не фильтруются маской
наследования (IM). Фактически, маска наследования может использовать
для фильтрации любого из указанных полномочий, исключая полномочия
доступа Supervisor. Таким образом, если вы хотите предоставить
объекту исключительный доступ к целевому объекту, вам следует
отфильтровать все полномочия с помощью маски наследования и присвоить
полномочия нужному объекту явным образом.

Интересным моментом во всей этой системы защиты является то, что
сам список ACL является атрибутом. Это означает, что вы можете
предоставить полномочия, позволяющие объектам изменять ACL. Объекты
с такими полномочиями могут изменять ACL и ограничивать доступ
к другим объектам. Поэтому предоставлять объекту полномочия Write
на атрибут ACL нужно осторожно.



Содержание раздела