ВУЗ:
Составители:
143
ме. Однако этот способ приводит в больших системах к чрезмерной за-
грузке администратора рутинной работой по повторению одних и тех же
операций для пользователей с одинаковыми правами. Объединение та-
ких пользователей в группу и задание прав доступа в целом для группы
является одним из основных приемов администрирования в больших
системах.
У каждого объекта доступа существует владелец. Владельцем мо-
жет быть как отдельный пользователь, так и группа пользователей. Вла-
делец объекта имеет право выполнять с ним любые допустимые для
данного объекта операции. Во многих ОС существует особый пользова-
тель (superuser, root или administrator), который имеет все права по от-
ношению к любым объектам системы, не обязательно являясь их вла-
дельцем. Под таким именем работает администратор системы, которому
необходим полный доступ ко всем файлам и устройствам для управле-
ния политикой доступа.
Различают два основных подхода к определению прав доступа:
1) Избирательный доступ (англ. discretionary – предоставленный на
собственное усмотрение). Для каждого объекта сам владелец может
определить допустимые операции с объектами. Между пользователями
и группами пользователей в системах с избирательным доступом нет
жестких иерархических взаимоотношений, то есть взаимоотношений,
которые определены по умолчанию и которые нельзя изменить. Исклю-
чение делается только для администратора, по умолчанию наделяемого
всеми правами.
2) Мандатный доступ (англ. mandatory – обязательный, принуди-
тельный). Система наделяет пользователя определенными правами по
отношению к каждому разделяемому ресурсу (файлу) в зависимости от
того, к какой группе пользователь отнесен. От имени системы выступает
администратор, а владельцы объектов лишены возможности управлять
доступом к ним по своему усмотрению. Все группы пользователей в та-
кой системе образуют строгую иерархию, причем каждая группа поль-
зуется всеми правами группы более низкого уровня иерархии, к кото-
рым добавляются права данного уровня. Членам какой-либо группы не
разрешается предоставлять свои права членам групп более низких уров-
ней иерархии.
Мандатные системы доступа считаются более надежными, но менее
гибкими, обычно они применяются в специализированных вычисли-
тельных системах с повышенными требованиями к защите информации.
В универсальных системах используются, как правило, избирательные
методы доступа.
Несмотря на то, что здесь в основном рассматриваются механизмы
контроля доступа к таким объектам, как файлы и каталоги, но следует
Страницы
- « первая
- ‹ предыдущая
- …
- 141
- 142
- 143
- 144
- 145
- …
- следующая ›
- последняя »
