Zarządzanie zabezpieczeniami
eDirectory
mgr inż. Agata Skowrońska, CNA, NAI
Tematyka wykładu
1. Zarządzanie obiektami typu User
2. Obiekt Admin
3. Zarządzanie zabezpieczeniami eDirectory
4. kontrolowanie dostępu do obiektów eDirectory;
5. określanie praw przyznanych do obiektów eDirectory;
6. blokowanie uprawnień dziedziczonych;
7. określanie praw efektywnych;
8. usuwanie problemów związanych z zabezpieczeniami
eDirectory.
Funkcje obiektu typu User
Obiekty typu User reprezentują osoby
korzystające z sieci – są podstawowymi
obiektami usług eDirectory.
Obiekt typu User zawiera informacje
o użytkowniku i jego otoczeniu
sieciowym. Wyznacza zakres dostępu do
sieci i jej usług. Każdy użytkownik sieci
powinien mieć przypisany unikatowy
obiekt typu User.
Na przykład, aby użytkownik mógł się
zalogować, musi mieć przypisany w
drzewie eDirectory odpowiedni obiekt
typu User. Aby użytkownik mógł
korzystać z aplikacji, musi być dodany do
cech tej aplikacji. Aby użytkownik mógł
drukować, musi być powiązany
z drukarką.
Funkcje obiektu typu User
Obiekty typu User mogą być tworzone i zarządzane za pomocą
następujących, dostępnych w systemie NetWare, programów
narzędziowych:
•
ConsoleOne
•
NetWare Administrator
•
iManager
•
import/conversion export (ICE) – import lub eksport plików LDIF
Narzędzia administracyjne pozwalają
przenosić
i kasować obiekty
użytkowników. Dla większej przejrzystości wyświetlana jest nazwa
obiektu, a nie jego numer
SID (security identifier). Skasowanie obiektu
jest równoznaczne z usunięciem nadanego mu numeru SID, dla którego
są przyznawane uprawnienia. Jeśli usuniemy, a następnie stworzymy
konto użytkownika o takiej samej nazwie, to nie uzyska on praw
swojego poprzednika, gdyż nowo utworzone konto będzie miało inny
identyfikator.
Aby móc dokonywać zmian w drzewie eDirectory, trzeba mieć
uprawnienia do modyfikowania systemu zabezpieczeń.
Tworzenie i modyfikowanie kont użytkowników
Obiekty typu User należą do najbardziej złożonych obiektów
eDirectory. S
zczegółowe dane wraz z wymaganymi cechami tworzą
konto użytkownika.
Tworząc obiekt typu User trzeba podać wartości cech
Name (Login
Name) i Surname (Last Name). Wartość cechy Name zostanie użyta
jako nazwa obiektu typu User i będzie używana w procesie logowania.
Katalog własny użytkownika jest osobistym katalogiem w
sieciowym systemie plików. Zwykle wszystkie katalogi własne
użytkowników są zgrupowane w jednym katalogu nadrzędnym (np. w
katalogu USERS).
Nazwa katalogu własnego jest zwykle identyczna z identyfikatorem
użytkownika. Katalog ten można ustanowić podczas tworzenia obiektu
typu User.
Obiekt typu Template
Tworząc użytkowników o podobnych charakterystykach
można skorzystać z obiektu typu Template.
Zawiera on
informacje domyślne, które mogą być stosowane dla
tworzonych obiektów typu User.
Obiekt Template
utrzymuje łącze z z utworzonym za
jego pomocą obiektem typu User. Cechy obiektów typu
User utworzonych na podstawie obiektu Template można
modyfikować (w obiekcie Template) za pomocą polecenia
Properties of Multiple Users.
W ten sposób można wprowadzić w jednym miejscu
globalne zmiany i przekazywać je do wszystkich obiektów
typu User.
Format LDIF
Aby automatycznie utworzyć wielu użytkowników,
można również skorzystać
z programu narzędziowego
import/conversion export (ICE), umieszczonego w
ConsoleOne. ICE korzysta z formatu plików
LDIF
(LDAP
Data Interchange Format).
Dane w formacie LDIF można wysyłać z większości
systemów katalogowych i poczty elektronicznej.
Więcej informacji o formatach plików LDIF można znaleźć pod adresem
http://developer.novell.com/research/appnotes/1999/march/a1frame.htm
LDIF
Wprowadzanie informacji
Version: 1
dn: cn=Patrick Milliken, o=Someorg
changetype:add
cn: Patrick Milliken, o=Someorg
sn: Milliken
givename: Patrick
objectclass: inetorgperson
telephonenumber: +1 999 222 2222
title: Developer
dn: cn=Susan Moller, o=Someorg
changetype:add
cn: Susan Moller
sn: Moller>
givename: Susan
objectclass: inetorgperson
telephonenumber: +1 999 222 2222
title: Director
LDIF
Modyfikacja i usuwanie informacji informacji
Kolejny przykład przedstawia plik
służący do modyfikowania
informacji. Niezbędne są wiersze zaczynające się od kreski poziomej:
dn: cn=Patrick Milliken, o=Someorg
changetype:modify
add:postaladdress
postaladdress: 999 W 555 E $ Sometown, UT $ USA
-
delete:description
-
delete:telephonenumber
telephonenumber: 1-999-999-9999
-
Poniżej przedstawiono przykład pliku
służącego do usuwania
informacji. Uzyskuje się to przez wprowadzenie wyróżniających nazw,
które mają zostać usunięte, bez początkowego kwalifikatora:
dn: cn=Patrick Milliken, o=Someorg
changetype:delete
dn: cn=Susan Moller, o=Someorg
changetype:delete
Obiekt Admin
Obiekt Admin jest jedynym istniejącym
domyślnie
kontem
użytkownika. Jest ono tworzone
automatycznie
podczas pierwszej
instalacji usług eDirectory. Jego właściciel ma uprawnienia do
zarządzania wszystkimi elementami sieci.
Liczba obiektów o uprawnieniach administratora może być
większa.
Obiekt Admin jest obiektem typu User –
może być usunięty lub
zmodyfikowany
, można też odebrać niektóre z powiązanych z nim
uprawnień. Usuwając takie konto, należy postępować rozważnie i
wcześniej upewnić się, czy istnieje inny obiekt użytkownika
posiadający prawa administratora.
Modyfikowanie kont użytkowników
Konta użytkowników można modyfikować na dwa sposoby:
•
indywidualnie – każdy obiekt User może być modyfikowany
oddzielnie za pomocą polecenia
Properties z menu Object. Niektóre
cechy takie jak identyfikator użytkownika, nazwisko i hasło, mogą być
zmieniane wyłącznie indywidualnie.
•
grupami – zmieniamy cechy wspólne dla wielu kont użytkowników,
korzystając z polecenia
Properties of Multiple Users (z menu Object).
To polecenie może być używane do modyfikowania obiektów typu User
powiązanych z innymi obiektami. Np. po wybraniu obiektu
Organizational Unit można zmieniać wszystkie zawarte w nim obiekty
User. (podobnie jest dla obiektów Group i Template)
Rodzaje zabezpieczeń sieciowych systemu NetWare
W systemie NetWare jest
dostępnych wiele zabezpieczeń
pozwalających chronić sieć i jej
zasoby.
Nie ma jednego systemu
zapewniającego pełne
zabezpieczenie sieci. Jest ono
efektem działania wielu systemów
funkcjonujących po to, aby chronić i
nadzorować poszczególne elementy
sieci.
Zabezpieczenia eDirectory
Zabezpieczenia dostępne w systemie NetWare:
•
Zabezpieczenia procedury logowania – nadzorują, kto może zalogować się do
sieci. Dodatkowo można nałożyć ograniczenia na sposób, czas i miejsce
logowania.
•
Zabezpieczenia systemu plików – regulują dostęp do aplikacji i plików danych.
•
Zabezpieczenia serwera
•
Zabezpieczenia drukowania w sieci – regulują kto może korzystać ze
środowiska drukowania i zarządzać nim.
•
Zabezpieczenia eDirectory – nadzorują kto może korzystać z Katalogu i nim
zarządzać.
Zabezpieczenia eDirectory
Zabezpieczenia eDirectory pozwalają
użytkownikom na uzyskiwanie
dostępu do
zasobów eDirectory, a jednocześnie chronią
Katalog przed niepożądanym dostępem.
Zabezpieczenia eDirectory służą do zarządzania
dostępem do znajdujących się w Katalogu
obiektów eDirectory i ich cech. Zabezpieczenia
te określają, kto może mieć dostęp do informacji
zawartych w Katalogu i w jaki sposób może
przeglądać i modyfikować te informacje.
Na przykład użytkownik potrzebuje uprawnień
do przeglądania innych obiektów w drzewie
Katalogu. Potrzebuje również uprawnień do
logowania się do sieci z użyciem skryptu logowania
zapisanego w odpowiadającym mu obiekcie typu
User. Inny użytkownik może potrzebować dostępu
do informacji o adresie poczty elektronicznej
określonej osoby w celu wysłania do niej
wiadomości.
Podobieństwa i różnice między zabezpieczeniami systemu
plików i zabezpieczeniami eDirectory
Zabezpieczenia eDirectory i zabezpieczenia systemu plików są
niezależne od siebie.
Z tego powodu administrowanie systemem plików i administrowanie
eDirectory może być
wykonywane przez jednego administratora sieci
lub rozdzielone pomiędzy różnych administratorów. Umożliwia to tak
zwane kontenerowe administrowanie siecią.
Kontrolowanie dostępu do obiektów eDirectory
Ochrona usług i zasobów sieciowych polega na sprawdzeniu, którzy
użytkownicy mają do nich dostęp. Aby móc kontrolować dostęp
użytkowników do obiektów eDirectory reprezentujących usługi i
zasoby sieciowe, należy zaznajomić się z następującymi pojęciami:
• dysponenci obiektów;
• prawa do obiektów (
Entry Rights);
• prawa do cech (
Attribute Rights);
• prawa do cech nadane za pomocą opcji
All Properties (wszystkie
cechy), a prawa do cech nadane za pomocą opcji
Selected Properties
(wybrane cechy);
• domyślne przypisane prawa eDirectory.
Dysponenci obiektów
Każdy obiekt eDirectory ma swoją
listę kontroli dostępu (ACL -Access
Control List). Lista ACL określa, kto
ma prawa do tego obiektu. Lista ta
jest też nazywana listą dysponentów.
Dysponent jest obiektem, który
został umieszczony na liście ACL
cechy Object Trustees (dysponenci
obiektu) innego obiektu.
Obiekty te (dysponenci) mogą mieć
także dostęp do informacji
przechowywanych w cechach obiektu
oraz prawo do dokonywania zmian
tych informacji.
Dysponenci obiektów
Na cechę Object Trustees (ACL) składają się nazwy
eDirectory dysponentów obiektu oraz prawa, jakie mają oni
do tego obiektu.
Dysponenci obiektów
Każdy z podanych obiektów eDirectory może zostać mianowany
dysponentem obiektu. Mianowanie któregokolwiek z tych obiektów, poza
obiektem typu User, dysponentem innego obiektu pozwala na nadanie
praw wielu użytkownikom jednocześnie:
•
obiekt typu User;
•
obiekt typu Group;
•
obiektu typu Organizational Role;
•
kontenery i kontenery nadrzędne;
•
obiekt [Root];
•
dysponent [Public].
Obiekt typu User może otrzymać prawa także przez przyznanie mu
równoważności zabezpieczeń z innym obiektem typu User.
Dysponent Tree [Root]
W trakcie instalowania systemu NetWare na
najwyższym poziomie drzewa Katalogu jest
tworzony obiekt Tree [Root]. Wszyscy
użytkownicy, którzy zalogują się w systemie,
mają domyślnie przyznawaną równoważność
zabezpieczeń z obiektem [Root].
Zatem
mianowanie obiektu [Root] dysponentem
innych obiektów powoduje nadanie wszystkim
użytkownikom tych samych praw, które ma
obiekt [Root].
Niezbędne jest jednak
uwiarygodnienie
użytkownika, aby mógł on otrzymać prawa za
pośrednictwem obiektu [Root].
W większości sytuacji nie jest potrzebne, aby
obiekty drzewa Katalogu były ogólnie dostępne
dla użytkowników. Aby zapewnić ochronę
zasobom i usługom eDirectory, należy unikać
używania obiektu [Root] do nadawania praw
dostępu do innych obiektów drzewa Katalogu.
Dysponent [Public]
Obiekt [Public] jest specjalnym obiektem drzewa
Katalogu traktowanym jako obiekt typu Group
obejmujący cały Katalog eDirectory. W trakcie
instalowania systemu NetWare obiekt [Public] jest
mianowany dysponentem obiektu [Root] i są mu
nadawane prawa do przeglądania wszystkich
obiektów w Katalogu.
Wszystkie obiekty drzewa eDirectory mają
przyznaną równoważność zabezpieczeń z
dysponentem [Public].
To przypisanie pozwala
wszystkim użytkownikom z drzewa Katalogu na
przeglądanie wszystkich innych obiektów z
drzewa jeszcze przed zalogowaniem się.
Ponieważ do otrzymania praw za pośrednictwem
dysponenta [Public] nie jest konieczne
uwiarygodnienie użytkownika, nie należy zmieniać
praw dysponenta [Public]. Przyznanie szerszych
praw dysponentowi [Public] daje wszystkim
obiektom drzewa Katalogu większy dostęp do
pozostałych obiektów w tym drzewie.
Prawa do obiektów (Entry rights)
Prawa do obiektów są
prawami nadawanymi
dysponentowi obiektu. Ich
zadaniem jest:
•
określanie, jakie operacje
(przeglądanie, zmiana nazwy lub
usunięcie obiektu) dysponent
może wykonywać na danym
obiekcie;
•
decydowanie o dostępie do
obiektu, ale nie o dostępie do
wartości cech tego obiektu.
Prawa do obiektów (Entry rights)
Umożliwia dysponentowi kontenera dziedziczenie nadanych mu praw do obiektów w
odniesieniu do obiektów i podkontenerów znajdujących się w tym kontenerze.
Prawo to jest nadawane w sposób domyślny w celu umożliwienia dziedziczenia
uprawnień na obiekty kontenera i jego podkontenery.
Cofnięcie tego prawa ogranicza prawa dysponentów do praw przyznanych do danego
kontenera. Prawa te nie są dziedziczone w odniesieniu do obiektów wewnątrz tego
kontenera i jego podkontenerów. Prawo to odnosi się tylko do obiektów klasy
Container.
Inheritable (I)
(dziedziczenie)
Prawo do zmiany nazwy obiektu.
Rename (R)
(zmiana nazwy)
Prawo do usunięcia obiektu z drzewa eDirectory
Delete (D)
(usuwanie)
Prawo do tworzenia nowego obiektu poniżej danego obiektu w drzewie eDirectory.
Prawo to odnosi się tylko do obiektów klasy Container.
Create (C)
(tworzenie)
Prawo do przeglądania danego obiektu w drzewie eDirectory.
Browse (B)
(przeglądanie)
Przyznaje wszystkie uprawnienia dostępu. Dysponent z prawem Supervisor ma również
pełny dostęp do wszystkich praw do cech danego obiektu.
Supervisor (S)
(nadzorca)
Opis
Prawo
Prawa do cech (Attribute rights)
Prawa do cech decydują o uzyskiwaniu
dostępu do informacji przechowywanych w
cechach obiektu:
•
decydują o uzyskiwaniu dostępu do wartości
przechowywanych w cechach obiektów
eDirectory, pozwalając użytkownikom na
przeglądanie, przeszukiwanie lub zmienianie
tych wartości;
•
określają możliwości użytkownika dotyczące
korzystania z zasobu sieciowego
reprezentowanego przez dany obiekt
eDirectory. Na przykład użytkownik potrzebuje
prawa Read (do cech) do cechy Path (ścieżka)
obiektu typu Directory Map (mapowanie na
katalog), aby móc użyć tego obiektu.
Dysponent obiektu może mieć prawa do cech
obiektu eDirectory nadane z opcją All Properties
(wszystkie cechy) lub Selected Properties
(wybrane cechy).
Prawa do cech (Attribute rights)
Przyznaje dysponentowi kontenera prawo do dziedziczenia przyznanych praw do
cech na obiekty znajdujące się w kontenerze.
Bez tego prawa, prawa dysponenta do cech odnoszą się tylko do cech
kontenera, ale nie do cech obiektów umieszczonych w tym kontenerze.
Prawo to jest nadawane w sposób domyślny po zaznaczeniu opcji All Properties
i domyślnie odbierane po zaznaczeniu opcji Selected Properties.
Prawo to odnosi się tylko do kontenerów.
Inheritable (I)
(dziedziczenie)
Przyznaje dysponentowi obiektu prawo do dodawania lub usuwania samego
siebie jako wartości cechy. Nadanie prawa Write powoduje automatyczne
nadanie prawa Add/Remove Self.
Add/Remove Self (A)
(dodawanie/ usuwanie
siebie)
Pozwala dysponentowi obiektu na modyfikowanie, dodawanie, zmienianie lub
usuwanie wartości cechy. Prawo Write zawiera w sobie prawo Add/Remove Self.
Write (W) (zapis)
Umożliwia odczytanie wartości cechy. Zawiera w sobie prawo Compare.
Read (R) (odczyt)
Umożliwia porównanie dowolnej wartości z wartością cechy, czego wynikiem jest
wartość Prawda lub Fałsz. Użytkownik nie może odczytać wartości cechy, lecz
tylko wynik porównania (równe, nie równe) z określoną wartością. Nadanie
prawa Read powoduje automatyczne nadanie prawa Compare.
Compare (C)
(porównywanie)
Przyznaje wszystkie prawa do cech obiektu.
Supervisor (S)
(nadzorca)
Opis
Prawo
Opcja All Properties
Ta opcja reprezentuje poziom praw do cech, które
dysponent obiektu ma nadane do wszystkich cech obiektu.
Pozwala na jednoczesne nadanie tych samych praw do
wszystkich cech.
Prawa do cech przyznane za pomocą opcji All Properties
dotyczą każdej cechy danego obiektu. Po przyznaniu
użytkownikowi prawa do cech Read za pomocą opcji All
Properties, może on odczytywać wartości wszystkich cech
tego obiektu.
Selected Properties
Ta opcja pozwala na nadawanie praw osobno dla każdej cechy. Jest ona przydatna
wówczas, gdy jest potrzebny dostęp tylko do kilku cech danego obiektu.
Opcja Selected Properties jest używana zazwyczaj wtedy, gdy użytkownik musi
dokonywać częstych zmian w cechach innych obiektów. Jest tak na przykład w
wypadku pomocnika administratora zajmującego się adresami i numerami
telefonicznymi użytkowników. Po mianowaniu pomocnika administratora
dysponentem wszystkich obiektów typu User, administrator sieci daje mu niezbędne
prawa [ R W ] (Read, Write) do cech Street (ulica) i Telephone (numer telefoniczny).
Dysponentom kontenerów można nadać prawo Inheritable do cechy. Prawo do
cech Inheritable zostaje domyślnie nadane dysponentowi obiektu, gdy do
przyznawania uprawnień używa się opcji All Properties.
Jeśli jednak prawa do cech kontenera są przyznawane za pomocą
opcji
Selected Properties, to prawo Inheritable musi zostać nadane ręcznie.
Wyznaczanie praw nadanych do obiektów
eDirectory
Ponieważ eDirectory ma strukturę
hierarchiczną, prawa przechodzą w dół
z kontenerów na podkontenery.
Prawo C nie przepływa w dół do DA1,
ponieważ prawo Create (tworzenie)
dotyczy tylko kontenerów, a DA1 jest
obiektem klasy Leaf.
Dziedziczeniu podlegają zarówno
prawa do obiektów, jak i prawa do
cech. Jednak w wypadku praw do cech
nadanych za pomocą opcji Selected
Properties prawo Inheritable
(dziedziczenie) musi zostać jawnie
nadane.
Blokowanie uprawnień dziedziczonych
Aby uniemożliwić przyznawanie obiektom niektórych
lub wszystkich uprawnień eDirectory, można użyć
następujących metod do zablokowania dziedziczenia praw:
•
nowe przypisanie dysponenta na niższym poziomie
drzewa Katalogu i przyznanie mu nowych praw;
•
zablokowanie praw za pomocą filtru IRF.
Nowe przypisanie dysponenta
Prawa do obiektów przyznane na
wyższym poziomie w drzewie
Katalogu mogą zostać zastąpione
prawami do obiektów przyznanymi
przez nowe przypisanie dysponenta
na niższym poziomie drzewa.
Prawa dysponenta ulegają
zmianie od poziomu, na którym
odbyło się nowe przypisanie, w dół
drzewa.
Blokowanie praw za pomocą filtru uprawnień
dziedziczonych (IRF)
Filtr IRF może zostać użyty do zablokowania
dziedziczenia praw do obiektów lub praw do cech.
W poprzednich wersjach systemu NetWare prawa
nadane za pomocą opcji Selected Properties nie mogły być
dziedziczone. W NetWare 5.x prawa te są dziedziczone,
jeśli zostało nadane prawo Inheritable (do cech).
Jeśli dysponentowi nie nadano prawa Inheritable (do
cech) do wybranej cechy, to prawo to nie będzie
dziedziczone na inne obiekty w drzewie Katalogu,
niezależnie od umieszczenia filtrów IRF w obiektach
położonych na niższym poziomie drzewa.
Blokowanie praw za pomocą filtru uprawnień
dziedziczonych (IRF)
Filtr IRF dla obiektu eDirectory nie
blokuje uprawnień nadanych dysponentowi
tego obiektu.
Aby zablokować dziedziczenie praw dla
danego użytkownika, należy mianować tego
użytkownika dysponentem obiektu
umieszczonego w drzewie Katalogu w
miejscu, gdzie mają obowiązywać nowe
przypisania praw.
Aby zablokować dziedziczenie praw dla
wszystkich użytkowników, należy umieścić
filtr IRF w obiekcie w miejscu, gdzie prawa
mają zostać ograniczone.
Prawo Supervisor do obiektów może
zostać zablokowane przez filtr IRF w
drzewie Katalogu
; nie można go
zablokować filtrem IRF w systemie plików.
Wyznaczanie praw efektywnych
Prawa efektywne użytkownika są sumą praw otrzymanych z
następujących źródeł, z wyłączeniem praw zablokowanych za pomocą
filtrów IRF:
•
prawa nadane bezpośrednio obiektowi typu User;
•
prawa nadane obiektom typu Group i Organizational Role;
•
prawa uzyskane w wyniku ustanowienia równoważności zabezpieczeń;
•
prawa nadane kontenerom, w których znajduje się dany użytkownik
(obiekt typu User ma ustanowioną równoważność zabezpieczeń z
kontenerami, w których się znajduje);
•
obiekt [Root];
•
dysponent [Public];
•
prawa dziedziczone z wyższych obszarów drzewa.
Przewodnik po zastosowaniach zabezpieczeń
eDirectory
1.
Zacząć od przypisań domyślnych.
2.
Unikać nadawania praw za pomocą opcji All Properties.
Główną przyczyną, dla której nie należy nadawać dodatkowych uprawnień za pomocą
opcji All Properties, jest to, że są wówczas nadawane prawa do cechy Object Trustees
(ACL).
Dostęp do cechy Object Trustees (ACL) ma bardzo ważne znaczenie dla
bezpieczeństwa systemu. Jest to cecha decydująca o przyznawaniu dodatkowych
praw do obiektu.
3.
Do nadawania praw używać opcji Selected Properties.
4.
Zachować ostrożność przy nadawaniu prawa Write (zapis) do cechy Object Trustees
(ACL) (dysponenci obiektu) jakiegokolwiek obiektu.
To prawo daje dysponentowi możliwość do nadania każdemu, włącznie z samym sobą,
wszystkich praw, w tym prawa Supervisor.
Dostęp do cechy Object Trustees (ACL), szczególnie z prawem Write (do cech), może
stanowić naruszenie bezpieczeństwa eDirectory. Każdy użytkownik z nadanym prawem
Write (do cech) do tej cechy może nadać każdemu użytkownikowi prawo Supervisor do
tego obiektu.
Przewodnik po zastosowaniach
zabezpieczeń eDirectory
5.
Zachować ostrożność przy przyznawaniu prawa Supervisor do obiektu typu Server.
Jest to równoznaczne z nadaniem prawa Supervisor do systemu plików do wszystkich
woluminów na tym serwerze.
Jednym ze sposobów na uniknięcie nadania prawa Supervisor do obiektów jest nadanie
wszystkich praw do obiektów z wyjątkiem prawa Supervisor i nieprzyznawanie prawa
Write (do cech) do cechy Object Trustees (ACL) (dysponenci obiektów).
Ponadto nadanie prawa Write (do cech) do cechy Object Trustees (ACL) obiektu typu
Server da również prawo Supervisor do systemu plików na wszystkich woluminach tego
serwera.
Nadanie prawa Supervisor do obiektu typu Server jest jedyną sytuacją, gdy w
systemie plików są dziedziczone prawa do eDirectory.
6.
Pamiętać, że nadanie prawa Supervisor do obiektu jest równoznaczne z nadaniem
prawa Supervisor do wszystkich jego cech.
7.
Zachować ostrożność przy blokowaniu prawa Supervisor za pomocą filtru IRF.
Przykład: administrator kontenera używa filtru IRF w celu zablokowania praw
administratora całej sieci do określonej gałęzi drzewa Katalogu.
Jeśli administrator sieci (mający prawo Supervisor do obiektu typu User administratora
kontenera) usunie obiekt typu User administratora kontenera, to tą gałęzią drzewa
Katalogu nigdy już nie będzie można administrować.
Rozwiązywanie problemów z zabezpieczeniami eDirectory
W większości wypadków
rozwiązywanie problemów z
zabezpieczeniami eDirectory
dotyczy:
• wyszukiwania użytkowników
mających nieautoryzowany
dostęp do obiektów i ich cech;
• stwierdzania, dlaczego
użytkownicy nie mają dostępu do
określonych zasobów sieciowych.
Użytkownicy mający nieautoryzowany
dostęp
Jeśli jakiś użytkownik ma większy dostęp do
określonego zasobu niż powinien, to należy określić, skąd
pochodzą prawa do tego zasobu.
Najlepszą metodą na odnajdywanie niepotrzebnych
praw jest:
• określenie praw efektywnych;
• stwierdzenie, skąd te prawa pochodzą.
Określanie, skąd pochodzą prawa
Może okazać się konieczne przeszukanie drzewa Katalogu w celu
odnalezienia praw efektywnych konkretnego użytkownika i stwierdzenia, skąd
te prawa pochodzą. Po określeniu, gdzie prawa mają swój początek,
stwierdzić w podany sposób, jak użytkownik otrzymał te prawa.
1. Sprawdzić przypisania dysponentów danego kontenera.
2. Sprawdzić jawne przypisania dysponentów w wypadku następujących
elementów:
• obiekt typu User;
• grupy, których członkiem jest dany użytkownik;
• funkcje (Organizational Role), które użytkownik pełni;
• równoważności zabezpieczeń, które może mieć użytkownik;
• kontenery w górę drzewa Katalogu, w których znajduje się użytkownik, aż
do obiektu [Root];
• prawa nadane dysponentowi [Public];
• prawa nadane obiektowi [Root].
3. Sprawdzić prawa dziedziczone dla elementów wymienionych w punkcie 2.
Użytkownicy nie mający dostępu do zasobu
•
Group/Organizational Role. Czy użytkownik jest członkiem grupy lub pełni
funkcję?
•
Równoważność zabezpieczeń. Czy użytkownik miał nadaną równoważność
zabezpieczeń?
•
Container. Czy przyznano prawo kontenerowi?
Czy na pewno każdy użytkownik znajdujący się w kontenerze powinien otrzymać te
same uprawnienia? Jeśli tak, to należy się upewnić, czy przyznanie praw odbyło się
na poziomie kontenera. Jeśli nie, to należy utworzyć grupę i przyznać tej grupie
odpowiednie prawa, a następnie umieścić w niej użytkowników potrzebujących
tych uprawnień.
•
User. Czy przyznano prawa użytkownikowi?
•
Filtr IRF. Czy w kontenerze jest umieszczony filtr IRF?
• Jeśli tak, to dokonać jawnego przypisania dysponenta tego kontenera.
• Jeśli nie, to sprawdzić, czy filtry IRF są umieszczone w kontenerach
nadrzędnych, a następnie dokonać jawnych przypisań.
Domyślne prawa eDirectory
Domyślne prawa eDirectory są tymi prawami,
nadawanymi kiedy inicjujemy następujące zdarzenia:
• tworzenie pierwszego obiektu drzewa ([Root])
• tworzenie kontenera (container)
• instalowanie serwera
• tworzenie konta użytkownika
Domyślne prawa eDirectory umożliwiają dostęp i
pozwalają administrować nowymi obiektami,
reprezentującymi zasoby sieciowe. Administrator może
rozszerzać domyślne prawa według potrzeb.
Domyślne prawa eDirectory przyznawane
przy tworzeniu pierwszego obiektu drzewa
Kiedy instalujemy bazę
eDirectory na pierwszym
serwerze w nowym drzewie
eDirectory, tworzone są
automatycznie dwa obiekty:
• obiekt [Root]
• obiekt Admin.
W tym momencie tworzony jest
także dysponent [Public].
Dysponent [Public] i użytkownik
Admin mają przyznawane następujące
prawa do obiektu [Root]:
Domyślne prawa eDirectory przyznawane przy
tworzeniu kontenera
Każdy kontener, który
tworzymy, otrzymuje
domyślne prawa dla samego
siebie. To przypisanie tworzy
równoważność zabezpieczeń
kontenera z obiektami typu
User, znajdującymi się w
kontenerze.
Domyślne prawa eDirectory przyznawane przy
instalowaniu serwera
Przy instalacji serwera, domyślne
prawa przyznawane są
użytkownikowi, który tworzy obiekt
typu serwer, oraz obiektowi [Root] i
dysponentowi [Public].
Użytkownikiem, który tworzy
obiekt typu serwer w drzewie
eDirectory, jest zazwyczaj
użytkownik Admin.
Domyślne prawa eDirectory przyznawane przy
tworzeniu obiektu typu User
Po utworzeniu nowego
obiektu typu User,
domyślne prawa, pozwalają
użytkownikowi w pewnym
stopniu na dostęp do
zasobów sieciowych.
Użytkownik otrzymuje
wystarczające prawa do
modyfikacji własnego
skryptu logowania i
konfiguracji zadań wydruku.
Domyślne prawa eDirectory przyznawane przy
tworzeniu obiektu typu User
NetWare pozwala na dwa sposoby
administrowania siecią:
scentralizowaną i rozproszoną
administrację.
Drzewo może mieć jednego
administratora całego drzewa lub
kilku administratorów dla
poszczególnych gałęzi, albo funkcje
te mogą być rozdzielone na jednego
administratora do całego drzewa i
kilku do gałęzi.
Porównanie scentralizowanej i rozproszonej
administracji
Administracja scentralizowana
W administracji scentralizowanej, jeden lub kilku użytkowników ma dostęp
do całego drzewa eDirectory. Taki sposób administrowania drzewem jest w
systemie NeWare domyślny.
Użytkownik Admin jest tworzony podczas instalacji i ma wszystkie prawa
do zarządzania drzewem eDirectory – prawa te ma zapewnione przez jawne
przypisanie praw [SI] do obiektu [Root].
Użytkownik Admin w rezultacie dziedziczy prawa do reszty drzewa, o ile na
niższym poziomie drzewa nie jest stosowany filtr IRF (blokujacy prawa
Adminowi).
Administracja scentralizowana jest odpowiednia dla organizacji z małym
drzewem eDirectory. Również niektóre zadania w systemie NetWare wymagają
centralnego zarządzania:
• zmiana drzewa eDirectory
• tworzenie pierwszego poziomu w drzewie eDirectory
• zarządzanie partycjami i replikami
• zarządzanie synchronizacją czasu
• tworzenie użytkowników z uprawnieniami admina
Administracja rozproszona
W administracji rozproszonej, wyznaczeni użytkownicy zarządzają
wydzielonymi gałęziami drzewa eDirectory. Użytkownik, który jest
wyznaczony do wykonywania zadań administracyjnych na poziomie kontenera,
należy do grupy Container Administrator.
Administracja rozproszona jest stosowana w dużych sieciach, gdzie
kontrolą zajmuje się kilka osób.
Następujące zadania mogą być zarządzane w sposób rozproszony:
• tworzenie kont użytkowników
• zarządzanie hasłami użytkowników
• tworzenie i konfigurowanie usług wydruku
• Back up i odzysk danych
• zarządzania systemem plików
• instalacja dodatkowych serwerów
• tworzenie grup roboczych