Для каждого разделяемого ресурса вы можете создать Список Прав Доступа (СПД), предоставленных пользователю или группе. Вы можете установить ограничение
доступа для всего диска целиком, для тех или иных каталогов или для отдельных
файлов на диске. Пример организации каталогов на диске сервера вместе с СПД
для всех пользователей приведен в разделе "Организация диска сервера" (рис.
5.1).
СПД определяет тип доступа к ресурсу сервера для пользователей, которые
могут работать с этим ресурсом. Пользователи, не имеющие привилегии А (Неограниченный доступ), не могут изменить уровня своего доступа к ресурсам
сервера. В приведенном ниже списке перечислены все права доступа, которые
могут быть предоставлены пользователям:
R | Право открывать
файлы для чтения. |
W | Право открывать
файлы для записи. |
C | Возможность
создания файлов. Пользователь не может создать файл, не имея права записи (W). |
M | Право создания
каталогов. |
L | Возможность
просмотра каталогов и поиска в них файлов. |
D | Право удалять
файлы с диска. |
K | Пользователь может
удалять каталоги. |
N | Разрешение изменять
имена файлов. |
E | Возможность загрузки
программ с сервера. |
A | Право изменения атрибутов файлов в разделяемом каталоге. |
I | Возможность создания и использования файлов-псевдонимов. Дополнительную информацию о работе с псевдонимами
файлов вы можете найти в Интерактивном справочнике. |
P | Возможность физического доступа к диску. Старайтесь не предоставлять право физического
доступа без крайней необходимости. Дополнительную информацию о физическом доступе к
дискам сервера вы можете найти в Интерактивном справочнике. |
Если вы хотите предоставить пользователю полные права доступа к диску, установите
для него СПД
VICTOR RWCMLDKNEAIP
СПД, разрешающий просмотр каталогов, чтение файлов и загрузку программ с сервера,
имеет вид:
ANNA R---L---E---
Как вы видите, LANtastic дает возможность полного и эффективного управления доступом пользователей к сетевым ресурсам. При работе с большими группами пользователей часто бывает проще устанавливать СПД с использованием шаблонов
имен.
Важное замечание: Права доступа к дисковому ресурсу распространяются на все
подкаталоги этого диска. Например, если вы предоставите пользователю все права
доступа к ресурсу C-DRIVE, эти права будут сохраняться при работе со всеми каталогами этого диска.
Вы можете установить права доступа для целой группы пользователей, задавая
шаблоны имен, состоящие из общего для всей группы префикса и символов-шаблонов
("*" и "?"). Символ "*" может быть заменен в реальном имени произвольным числом любых
допустимых в имени символов, вместо "?" может быть подставлен один произвольный
символ из числа допустимых в имени.
Шаблонам
ADMIN-*
$*
удовлетворяют все имена, начинающиеся префиксами ADMIN- и $, соответственно (например, ADMIN-PETR или $IVAN). Любой пользователь, имя которого начинается с префикса ADMIN-, получает права доступа, заданные для группы ADMIN-*.
Вы можете установить для некоторых членов группы СПД более широкие права
доступа к ресурсам сервера, однако при этом следует помнить, что при поиске
имени пользователя в списке выбирается первый шаблон, которому удовлетворяет введенное пользователем имя. Поэтому имя пользователя с более широкими правами
должно в списке предшествовать шаблону имен прочих пользователей. Например,
если вы хотите предоставить более широкие права пользователю ADMIN-VICTOR, вы должны поставить его имя в списке перед шаблоном имен остальных пользователей
ADMIN-VICTOR RWCMLDKNEAI-
ADMIN-* RWCML--NEA--
В приведенном примере пользователь ADMIN-VICTOR имеет все права, за исключением
физического доступа к диску (P), а остальные члены группы имеют право чтения,
создания и записи файлов, создания и просмотра каталогов, а также переименования
и удаления файлов.
Принципы организации индивидуальных и групповых счетов применимы и к счетам
СПД-групп, описанным в разделе "Группы СПД". Образцы СПД, приведенные
ниже, содержат индивидуальные и групповые счета, а также счета СПД-групп:
VICTOR RWCMLDKNEAIP
PETR RWCMLDKNEAIP
SALES R---L---E---
ACCT R---L---E---
* ------------
Замечание: LANtastic дает возможность получать доступ к серверу, используя комбинацию прав, предоставленных на основании персонального или
группового счета и группы СПД. Инструкции по работе с индивидуальными и групповыми
счетами приведены в гл. 6 (DOS) и 12 (Windows).
Для обеспечения должного уровня безопасности данных на сервере и повышения эффективности использования его ресурсов создайте специальные каталоги
для отдельных пользователейи групп.
Вы можете организовать также специальные каталоги для прикладных программ.
Если на сервере установлено несколько дисков, можно выделить один из них
специально для прикладных программ, используемых в сети или для каталогов
пользователей.
Приведенная ниже диаграмма иллюстрирует пример организации каталогов на
диске сервера, с которым работает несколько пользователей:
После создания каталогов нужно организовать сетевые ресурсы и задать Списки Прав Доступа (СПД) для индивидуальных и групповых счетов, а также для СПД-групп. На приведенной ниже диаграмме вместе с каталогами указаны СПД для всех пользователей, имеющих доступ к этим ресурсам. Для простоты понимания имена
ресурсов совпадают с именами соответствующих этим ресурсам каталогов. Помните, что
вы можете установить СПД для каталогов, отдельных файлов или целого диска (установка
прав доступа к ресурсам описана в гл. 7 для DOS и гл. 13 для Windows).
На диаграмме символ "*" используется для обозначения СПД для пользователей с
произвольным именем. ADMIN и SALES обозначают СПД для сотрудников администрации
и торгового отдела.
Пользователи из групп ADMIN и SALES имеют право чтения файлов, просмотра
каталога и загрузки программ с сервера. Остальные пользователи, которым не
предоставлено специальных прав доступа к этим каталогам, не имеют
возможности работать с каталогами.
Замечание: Права доступа, установленные для каталога, распространяются
на все его подкаталоги, если для них не задано ограничение доступа на уровне
файлов.
Резюмируя рекомендации предыдущих разделов, перечислим основные способы обеспечения безопасности данных на серверах LANtastic:
- организация индивидуальных счетов для пользователей сети;
- создание СПД для каждого пользователя
или группы;
- установка времени доступа к серверам и регулярная смена паролей;
- удаление счета "*", позволяющего получить доступ в сеть без пароля;
- задание умеренных прав доступа и привилегий;
- разумная организация каталогов на дисках сервера.
Кроме того, существует еще ряд способов обеспечения безопасности данных:
- расположение серверов с конфиденциальной информацией в хорошо защищенных
помещениях;
- защита от сбоев и отключения питания с помощью программы UPS и источника
бесперебойного питания;
- парольная защита для управляющих каталогов, в которых хранятся счета
пользователей и описания ресурсов серверов (обычно такие каталоги называются
LANTASTI.NET). Для получения доступа к управляющему каталогу (например, для
редактирования счетов) пользователь должен будет указать корректный пароль;
- использование режима удаленной загрузки, предотвращающее возможность использования рабочих станций при отключенном сервере;
- мониторинг серверов (см. одноименный раздел);
- просмотр контрольного журнала, в котором фиксируются попытки несанкционированного доступа к ресурсам сервера (см. раздел "Использование контрольных журналов").
Остаток главы посвящен рассмотрению вопросов мониторинга серверов и работы с
Контрольным журналом. Подробные инструкции по использованию перечисленных в списке методов обеспечения безопасности вы можете найти в следующих главах.
ОС LANtastic позволяет организовать в сети мониторинг серверов и управление
ими несколькими способами:
- просмотр режима работы сервера в окне Управление сервером
программы NET_MGR;
- использование ресурсов @SCREEN и @KEYBD для управления удаленным сервером;
- использование программы ALONE для организации в сети выделенного сервера.
Окно Управление сервером позволяет увидеть загруженность сервера,
список подключенных к нему пользователей и сделанные ими запросы. Информация в
окне Управление сервером обновляется в режиме реального времени.
Подробные инструкции по использованию диалогового окна Управление
сервером приведены в гл. 11 (DOS) и 17 (Windows).
Вы можете видеть экран удаленного сервера и имитировать его клавиатуру
с помощью ресурсов @SCREEN и @KEYBD, автоматически создаваемых
при установке LANtastic. Сервер будет выполнять все команды, которые вы
будете набирать на клавиатуре своего компьютера. Любой текст, который
выводится на экран управляемого сервера, будет дублироваться на вашем
экране. Такая возможность особенно полезна при создании резервных копий файлов
с помощью пакетных файлов или при работе с программами, которые по
тем или иным причинам должны быть запущены на удаленном сервере
(например, для использования установленного на этом сервере модема). Подробное
описание работы с ресурсами @SCREEN и @KEYBD приведено главе 11 (DOS) и 17 (Windows).
Программа ALONE загружается на сервере как обычная задача DOS и выводит в
процессе работы на экран этого сервера сообщения о всех полученных сервером
запросах. К числу выводимых на экран данных относятся имена файлов, открытых на
сервере пользователями, режим открытия этих файлов и доступные
пользователю режимы работы с открытым файлом.
Вы можете установить парольную защиту для выхода из программы ALONE (прекращения
ее работы), не позволяющую без должных полномочий прервать работу
компьютера в режиме выделенного сервера. При этом также блокируется обработка
одновременного нажатия клавиш Ctrl+Alt+Del, позволяющая перезагрузить
сервер. Подробное описание программы ALONE приведено в разделе
"Использование программы ALONE" (глава 11).
Контрольный журнал содержит информацию о доступе (или отвергнутых попытках
доступа) пользователей к ресурсам сервера. Записи контрольного журнала хранятся на
диске сервера и могут быть скопированы в файл (например, для последующего
архивирования). Вы можете задать типопераций, информация о которых будет заноситься
в контрольный журнал - такойподход позволяет уменьшить объем записей в журнале,
ограничившись протоколированием интересующих вас действий пользователей.
Можно задать протоколирование определенных операций (например, попыток несанкционированного доступа) или фактов подключения пользователей к серверу и
отключения от него. Кроме того, можно протоколировать работу пользователей
с почтовыми и принтерными очередями, атакже размер печатаемых пользователями
файлов.
Контрольный журнал поможет вам узнать количество пользователей, одновременно работающих с ресурсами сервера. Такая информация полезна при установке режима
работы сервера и позволяет задать оптимальные значения для числа
пользователей и сетевых задач для данного сервера. Точная установка этих параметров
позволяет сделать работу сервера эффективной при минимальном расходовании памяти на
сервере.
Использование контрольного журнала позволяет также оценить правильность распределения нагрузки между различными серверами вашей сети и корректность установки
параметров серверов. Если какой-либо из компьютеров чрезмерно загружен
решением сетевых задач, вы сможете передать часть его работы другому серверу
(перенеся туда соответствующие ресурсы). Наконец, контрольный журнал
позволяет вести точные записи, требующиеся для выписывания счетов в случае предоставления в сети платных услуг. Вы просто устанавливаете режим протоколирования
всех платных операций и на основании протокола можете выписывать счета за оказанные
услуги. Подробное описание работы с контрольными журналами приведено в гл. 8 (DOS) и 14 (Windows), а установка режимов протоколирования описана в гл. 11 и 17.
Предостережения: Протоколирование обращений к серверам при неаккуратном его использовании может сильно снизить производительность сервера. Особенно осторожно следует задавать тип протоколируемых операций, поскольку это оказывает наибольшее
влияние на скорость работы сервера. Кроме того, следует регулярно просматривать
контрольный журнал с целью удаления старых записей или копирования их в файлы.
Если вы намерены использовать протоколы обращений к серверам, записи из контрольного журнала можно скопировать в файл для последующего архивирования.
В этой главе было рассказано о планировании сетевых ресурсов и счетов пользователей, а также об основных аспектах обеспечения безопасности данных в
сети.
В гл. 6 (DOS) и 12 (Windows) приведены подробные инструкции по установке счетов
пользователей.
Главы 11 и 17 содержат инструкции по протоколированию действий пользователей и
мониторингу серверов. Кроме того, в этих главах содержится подробная информация
по вопросам обеспечения безопасности данных в сети.
Назад | Содержание | Вперед