ВУЗ:
Составители:
Интерфейс дискретного доступа существенно детализирует имеющиеся механизмы защиты ОС Unix. Вводимые средст-
ва можно разделить на следующие группы:
1)
работа со списками доступа при дискретной защите;
2)
проверка права доступа;
3)
управление доступом на основе полномочий;
4)
работа привилегированных пользователей.
В рамках проекта Posix создан интерфейс системного администратора. Указанный интерфейс определяет объекты и
множества действий, которые можно выполнить над объектами. В качестве классов субъектов и объектов предложены поль-
зователь, группа пользователей, устройство, файловая система, процесс, очередь, вход в очередь, машина, система, админи-
стратор, программное обеспечение и др. Определены атрибуты таких классов, операции над классами и события, которые
могут с ними происходить.
9.5. ЗАЩИТА В ОПЕРАЦИОННОЙ СИСТЕМЕ
NOVELL NETWARE
Авторизация доступа к данным сети. В NetWare реализованы три уровня защиты данных (рис. 9.8).
Здесь под аутентификацией понимается:
1) процесс подтверждения подлинности клиента при его подключении к сети,
2)
процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.
Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (катало-
гом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или ката-
логу.
Рис. 9.8. Уровни защиты данных в Novell NetWare
Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором
для любого сетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен:
1)
знать свой идентификатор и пароль для подключения к сети,
2)
иметь право записи данных в этот файл,
3)
файл должен иметь атрибут, разрешающий запись данных.
Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отно-
шению к этому файлу.
Аутентификация пользователей при подключении к сети. Подключение к сети выполняется с помощью утилиты
LOGIN.EXE. Эта программа передает на сервер идентификатор, введенный пользователем.
По этому идентификатору NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных
сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то NetWare посылает на рабочую стан-
цию зашифрованный с помощью пароля открытый ключ (симметричное шифрование). На рабочей станции этот ключ рас-
шифровывается с помощью пароля, введенного пользователем, и используется для получения подписи запроса (пакета) к
серверу о продолжении работы. Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифро-
вание), проверяет ее и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подпи-
сью, получаемой в результате кодирования открытым ключом контрольной суммы содержимого пакета и случайного числа
Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если
пользователь выполняет те же самые действия
Клиент 1 Клиент 2
Аутентификация 1
Аутентификация 2
Уровни
Права 1
Права 2
Каталог или файл
АТРИБУТЫ
FC
1
2
3
Страницы
- « первая
- ‹ предыдущая
- …
- 95
- 96
- 97
- 98
- 99
- …
- следующая ›
- последняя »
