Novell W3 Uprawnienia i dysponenci

Tworzenie katalogów sieciowych

    Katalogi sieciowe tworzy się w taki sam sposób, jak katalogi na dysku lokalnym: za pomocą Menedżera plików lub Eksploratora Windows, z aplikacji lub z wiersza poleceń.
    Jedyną różnicą jest to, że umieszczane są na dysku sieciowym.
    Podczas przydzielania praw w systemie plików dla obiektu lub podczas przeglądania katalogu z poziomu strony właściwości za pomocą narzędzia NEAT nowy katalog można utworzyć klikając opcje Create a New Directory (Utwórz nowy katalog) i postępując dalej według poleceń wyświetlanych na ekranie.
    (Opcja Create a New Directory (Utwórz nowy katalog) jest dostępna tylko wtedy, gdy zostanie zaznaczony kontener lub dodany użytkownik).
    Użytkownicy mogą tworzyć katalogi oraz wykonywać operacje na plikach jedynie za pośrednictwem narzędzi systemu operacyjnego swoich stacji roboczych, takich jak Eksplorator w systemie Windows.

Uprawnienia

    Dla każdego użytkownika możemy określić parametry zwiększające bezpieczeństwo
    u1

Prawa do folderów i plików

    Prawo Opis
    S Supervisor (nadzorowanie) Daje wszystkie prawa do katalogu i znajdujących się w nim plików oraz do jego podkatalogów i znajdujących się w nich plików. Pozwala nadawać dowolne prawa innym użytkownikom. Prawo Supervisor do katalogu lub pliku nie może być zablokowane przez filtr IRF.
    R Read (odczyt) Daje prawo do otwierania plików w katalogu i czytania ich zawartości oraz do uruchamiania programów.
    W Write (zapis) Daje prawo do otwierania i zmiany zawartości plików.
    C Create (tworzenie) Daje prawo do tworzenia nowych plików i podkatalogów.
    E Erase (usuwanie) Daje prawo do usuwania katalogu, jego plików i podkatalogów.
    M Modify (modyfikowanie) Daje prawo do zmiany atrybutów lub nazwy pliku bądź katalogu.
    F File Scan (przeglądanie) Daje prawo do przeglądania struktury plików i katalogów.
    A Access Control (kontrola dostępu Daje prawo do zmiany przypisań dysponentów i filtrów IRF, co oznacza możliwość nadania wszystkich praw z wyjątkiem prawa Supervisor.

Okno ustawień zasad

    Po zaznaczeniu użytkownika wybieramy „Details” i zakładkę „Password Restrictions”.
    u2

Aby zwiększyć poziom bezpieczeństwa możemy:

    wymusić na użytkowniku minimalną długość hasła (maksymalnie hasło może posiadać 128 znaków. Zalecaną minimalną długością jest 8 znaków),
    czy i co jaki czas jest wymagana zmiana hasła (Force periodic password changes),
    ilość dni pomiędzy zmianami hasła (Days between forced changes),
    do kiedy hasło jest ważne (Date password expires),
    pamiętanie poprzednich haseł uniemożliwiające podania poprzedniego hasła (Require unique passwords).
    Możemy również ograniczyć prawa do logowania użytkownika, wybierając zakładkę „Login Time Restrictions”.

Okno dozwolonego czasu pracy
u15
Prawa dostępu

    Bardzo ważnym elementem bezpieczeństwa systemu jest przydzielanie praw dostępu tylko do niezbędnych danych.
    W wersji uproszczonej możemy skorzystać z NEAT (Novell Easy Administration Tool).
    Prawa mogą być przydzielane
    organizacji (wszyscy użytkownicy otrzymują te same prawa),
    grupie (członkowie grupy otrzymują te same prawa)
    pojedynczym użytkownikom.
    W zależności od przydzielonych praw użytkownicy mogą lub nie mogą odczytywać i modyfikować plików.

Okno programu NEAT
u3
Ustawianie praw

    Chcąc zmienić uprawnienia dla danego użytkownika, musimy wybrać zakładkę „Ochrona” po wskazaniu nazwy w drzewie NDS-u.
    Następnie wybieramy „Prawa do systemu plików”.
    Wszędzie, gdzie występuje wpis „[Brak]”, oznacza brak praw do danego pliku bądź
    katalogów. Możemy uprawnienia nadać wybierając zasób oraz „Ustaw Prawa”.
    u4
    u5

System uprawnień plików w systemie Novell NetWare jest bardziej rozbudowany.

    W zależności od potrzeb możemy korzystać z wersji pełnej lub uproszczonej.
    Dostęp do pełnych uprawnień uzyskujemy poprzez „NetWare Administration”.

Uprawnienia do plików i folderów
u6

    Każdy plik może mieć ustawione:
    R (Read) – prawo otwierania i czytania plików,
    W (Write) – prawo otwierania i zapisu do otwartych plików,
    C (Create) – prawo tworzenia nowych plików,
    E (Erase) – prawo kasowania,
    M (Modify) – prawo zmiany nazwy i atrybutów,
    F (File Scan) – prawo przeszukiwania katalogów,
    A (Access Control) – prawo kontroli dostępu,
    Supervisor – prawo nadzorcy, nadaje automatycznie wszystkie pozostałe prawa.

Katalogi mogą mieć ustawione jeszcze dodatkowo atrybuty:

    normal – domyślny atrybut,
    hidden – ukryty katalog, nie chroni go jednak jeżeli znana jest prawidłowa ścieżka,
    system – katalog jest używany do celów systemowych,
    private – chroni katalog przed oglądaniem go przez innych użytkowników.

Lista uprawnień użytkownika
u16
Prawa niezbędne do wykonywania zadań – uprawnienia użytkownika

    Otwierania i czytanie pliku Read
    Obejrzenie nazwy pliku File Scan
    Wyszukiwanie plików w katalogu File Scan
    Otwieranie istniejącego pliku i zapisywanie w nim Write, Create, Erase, Modify (nie zawsze wymagane)
    Wykonywanie pliku .EXE Read, File Scan
    Tworzenie pliku i zapisywanie w nim Create
    Kopiowanie plików z katalogu Read, File Scan
    Kopiowanie plików do katalogu Write, Create, File Scan
    Tworzenie nowego katalogu Create
    Usuwanie pliku Erase
    Odzyskiwanie usuniętych plików Read i File Scan do pliku oraz Create do katalogu
    Zmiana atrybutów pliku lub katalogu Modify
    Zmiana nazwy pliku lub katalogu Modify
    Zmiana filtru IRF Access Control
    Zmiana przypisań dysponentów Access Control
    Modyfikowanie przydziału pamięci dyskowej katalogu między poszczególnych użytkowników Access Control

Dysponenci praw –lista ACL
u10

    Lista dysponentów to inaczej lista ACL (Access Control List), czyli lista określająca kto ma prawa do katalogu lub pliku.

Dziedziczenie praw
u9
u8

    Prawa dostępu do pliku mogą być również dziedziczone od obiektów nadrzędnych.
    W przypadku bardziej złożonych praw dostępu powinno się sprawdzić efektywne prawa dostępu (Effective Rights).

Dziedziczenie

    Utworzony katalog dziedziczy prawa obowiązujące katalog nadrzędny (katalog znajdujący się bezpośrednio nad nim w strukturze katalogów).
    Użytkownikom potrzebującym szerszych uprawnień do danego podkatalogu można przydzielić dodatkowe prawa. Nie można jednak ograniczać praw odziedziczonych.
    Jeśli użytkownik uzyskał pełne prawa do katalogu nadrzędnego dzięki przynależności do grupy lub organizacji, można wówczas ograniczyć jego prawa do podkatalogu (czyli zmienić je na prawo do odczytu lub na brak praw), bez wcześniejszej zmiany praw grupy lub organizacji.

Zabezpieczenia NDS

    Zabezpieczenia NDS służą do zarządzania dostępem do obiektów NDS.
    Można ograniczać prawa użytkownikom do modyfikowania lub tworzenia obiektów, a także do przeglądania lub modyfikowania ich cech.
    Te prawa też można nadawać za pomocą programu NWADMIN.

Prawa do obiektów NDS

    Supervisor – dysponent ma wszystkie wymienione dalej prawa.
    Browse – dysponent może oglądać obiekt w drzewie Katalogu, jeśli nie nadasz tego prawa użytkownik nie zobaczy danego obiektu.
    Create – dysponent może tworzyć obiekty podrzędne, prawo to dotyczy tylko obiektów klasy Container.
    Delete – dysponent może usunąć obiekt z bazy NDS.
    Rename – dysponent może zmienić nazwę obiektu.
    Prawa do cech obiektów NDS
    Prawa do cech, są to prawa określająca jakie czynności dysponent może wykonywać względem cech obiektu.
    Supervisor – dysponent ma wszystkie wymienione dalej prawa. Dysponenci z prawem Supervisor do obiektu mają automatycznie to prawo do cech.
    Compare – dysponent może porównywać wartość cechy z daną wartością.
    Read – dysponent może odczytać wartość cechy.
    Write – dysponent może modyfikować wartość cechy.
    Add Self – dysponent może dodawać lub usuwać siebie jako wartość cechy.
    Prawa do cech można nadawać na dwa sposoby: do wszystkich cech jednocześnie (All Properties) lub tylko do wybranych cech (Selected Properties).

Dziedziczenie praw w NDS

    Prawa nadawane w katalogu mogą być dziedziczone. Jeśli dysponent otrzyma prawa do obiektu kontenerowego, to takie same prawa będzie miał do wszystkich obiektów położonych poniżej tego kontenera.
    Dziedziczenie minimalizuje liczbę praw przypisywanych indywidualnie i koniecznych do wykonywania czynności administracyjnych w odniesieniu do grupy obiektów.
    Prawa dziedziczone mogą być blokowane. Są dwie metody blokowania:
    za pomocą nowego przypisania dysponenta
    za pomocą filtrów IRF (Inherited Rights Filter).
    Ponowne przypisanie praw użytkownikowi dokładnie definiuje obiekt, którego prawa są zmieniane, i daje administratorowi większą kontrolę nad blokowaniem praw.
    Filtr IRF jest metodą ogólną, dotyczy wszystkich praw dziedziczonych. Stosowanie filtru może spowodować, że oprócz praw, które zamierzamy blokować, zostaną zablokowane też inne prawa dziedziczone.

    Prawa nadane dysponentowi są dziedziczone (przenoszone w dół) przez wszystkie pliki i foldery.
    Dziedziczenie praw w drzewie eDirectory możemy wyłączyć

u10
u12
u13
Prawa efektywne

    Dla każdego obiektu wyznaczane są prawa efektywne, określające operacje, które można
    wykonać w odniesieniu do obiektu. Wpływ na nie mają:
    prawa nadawane bezpośrednio do obiektu,
    prawa dziedziczne, które obiekt otrzymał od obiektów zajmujących wyższą pozycję w drzewie,
    filtr IRF lub nowe przyznanie, które mogą blokować prawa dziedziczone.

Prawa efektywne

    Prawa efektywne są wynikiem wszystkich praw dotyczących użytkownika, bierzemy pod uwagę również do jakich grup należy user i jakie ma tam prawa
    Użytkownik janek ma prawa do odczytu, zapisu i przeglądania. Należy do grupy informatycy, która ma prawo do odczytu i przeglądania. Jego prawa efektywne są wynikiem tych praw, czyli ma prawa do odczytu, zapisu i przeglądania.
    u14
Ten wpis został opublikowany w kategorii ADM, PrezentacjeADM. Dodaj zakładkę do bezpośredniego odnośnika.