Корпоративные сети и распределенная защита

Стандартная система Windows NT поставляется со встроенными в нее возмож­ностями сервера. Сервер обеспечивает выполнение операций рабочих групп, таких как копирование файлов с одной машины на другую или подготовка принтера для совместного использования в сети. Подобная простая сетевая под­держка полезна для небольших фирм, домашних сетей или отдельных рабочих станций, подключающихся к сети по телефонным линиям. Однако в больших орга­низациях и учреждениях могут понадобиться дополнительные возможности.

Контроль доступа — это важная часть любой сетевой опера­ции, необходимая для защиты данных одного пользователя от других пользова­телей, служебной информации фирмы от посторонних и т. д. Однако с защитой связан определенный объем администрирования. Например, был описан обязательный процесс регистрации пользователя в системе и аутентификации системой той информации, которая была введена во время регистрации. Для того, чтобы ОС распознавала пользова­теля, администратор должен создать для него учетную запись в той системе, с которой пользователь желает работать. Windows NT хранит идентификаторы и пароли пользователей в так называемой базе данных диспетчера учетных за­писей (security accounts manager (SAM) database) .

Когда пользователь пытается зарегистрироваться на своей рабочей стан­ции, Windows NT просматривает базу данных SAM, связанную с этой рабочей станцией, и проверяет пароль. В небольших сетях каждый пользователь работа­ет на некоторой рабочей станции Windows NT, и каждая рабочая станция имеет собственную базу учетных записей, как показано на рис. 9-19.

Рис. 9-19. Конфигурация сети малого размера.

Если пользователю требуется доступ к ресурсам всех рабочих станций, то на каждой из них у него должна быть отдельная учетная запись. На практике это означает, что если пользователь изменил свой пароль, но хочет, чтобы тот был одинаковым на всех машинах, с которыми он работает, ему необходимо обно­вить пароль для каждой машины по отдельности.

Такой способ сопровождения совершенно не годится для больших корпо­ративных сетей. С возрастанием числа рабочих станций объем их администри­рования будет расти пропорционально. Для удовлетворения потребностей про­мышленных сетей были разработаны расширения встроенной сетевой поддерж­ки Windows NT. Это программное обеспечение, предварительно названное LAN Manager for Windows NT, добавляет новые возможности к поддержке одноран­говой сети, имеющейся в рабочей станции Windows NT. Оно позволит создавать сетевые домены (network domains), более примитивная версия которых существует в LAN Manager 2.x, для упрощения задач администрирования. Про­стой сетевой домен показан на рис. 9-20.

Рис. 9-20. Конфигурация сети среднего размера.

На рисунке в большом овале показан сетевой домен, в который объедине­ны все компьютеры. В домен входят несколько рабочих станций и несколько серверов; последние называются контроллерами домена (domain controllers). При подключении к системе пользователь выбирает подключение либо в соот­ветствии с учетной записью, определенной на его собственной рабочей стан­ции, либо в соответствии с учетной записью, находящейся в его первичном до­мене (primary domain), т. е. в домене, к которому принадлежит его машина.

Если используется учетная запись локальной машины, то локальное про­граммное обеспечение аутентификации использует для проверки параметров подключения информацию из базы данных SAM рабочей станции. Если же пользо­ватель регистрируется в домене, локальное программное обеспечение аутенти­фикации посылает параметры регистрации для проверки в домен. На первич­ном контроллере домена находится база данных SAM, общая для всего домена, а резервные контроллеры домена хранят ее реплицированные копии. Благодаря этому пользователю не требуется отдельная учетная запись на каждом сервере, а кроме того, повышается отказоустойчивость. При выключении одного из кон­троллеров домена система автоматически может перенаправить запрос на реги­страцию другому серверу.

На рис. 9-20 линия между рабочей станцией и первичным контроллером домена показывает отношение доверия (trust relationship) — это термин из об­ласти контроля прав доступа, обозначающий, что рабочая станция "доверяет" домену проверку законности регистрации пользователя. Отношение доверия позволяет Windows NT установить безопасный канал между двумя системами и обеспечить доступ к ресурсам домена.

Дополнительный эффект от организации компьютеров в домен состоит в том, что пользователь может зарегистрироваться в домене с любой входящей в него рабочей станции или сервера и работать со своей рабочей станцией уда­ленно. Например, если некоторая группа организовала при помощи систем Windows NT, объединенных в домен, лабораторию разработки или тестирова­ния, то пользователь, имеющий в данном домене учетную запись, может зареги­стрироваться под своим идентификатором с любой машины в лаборатории.

Возможность создания доменов полезна для сетей среднего размера, где несколько серверов обслуживают большое количество рабочих станций. В зна­чительно более крупных сетях, таких как сети корпораций, значение доменов возрастает еще больше; с их помощью компания может разделить свои ресурсы на несколько дискретных порций (доменов) и гибко управлять ими. Конфигура­ция большой сети показана на рис. 9-21.

Изображенная на рисунке сеть содержит три домена: два для групп разра­ботчиков (ТЕАМ1 и ТЕАМ2) и один для административного состава (OPERA­TIONS). Отношение доверия доменов (trusted domain relationship) имеет место как между обоими доменами разработчиков, так и между доменами разработ­чиков и доменом администрации. Такая структура позволяет, например, разра­ботчику из ТЕАМ1 регистрироваться в своем первичном домене с машины из домена ТЕАМ2. Более интересно, однако, то, что такая структура обеспечивает члену административной группы, зарегистрировавшемуся с помощью своей обычной учетной записи пользователя, прозрачный доступ к ресурсам обоих

Рис. 9-21. Конфигурация большой сети.

доменов ТЕАМ1 и ТЕАМ2, как если бы эти ресурсы принадлежали домену OPERATIONS. Предыдущие продукты LAN Manager требовали, чтобы у админи­страторов были отдельные учетные записи во всех доменах, которые они дол­жны администрировать, однако в LAN Manager for Windows NT это требование снято. В данном примере системный администратор, зарегистрировавшись, получает доступ к ресурсам в других доменах. Когда он обращается к домену ТЕАМ1, программное обеспечение защиты этого домена проверяет наличие отношения доверия с доменом OPERATIONS. Такое отношение существует, поэтому домен ТЕАМ1 использует защищенный канал для посылки неявного запроса на регистрацию домену OPERATIONS, который аутентифицирует пользователя, обращаясь к своей базе данных SAM. В случае успешной аутентификации системный администратор может устанавливать программное обеспечение, выполнять резервное копирование и другие действия по сопро­вождению. Распределенная защита такого типа позволяет даже очень круп­ным организациям с большим количеством доменов легко управлять своими ресурсами и в то же время обеспечивать доступ к сетевым ресурсам из любо­го места сети.

Хотя большие и средние сетевые конфигурации обеспечивают пользова­телям гибкий доступ к ресурсам, каждый пользователь может ограничить доступ к своей машине следующими способами:

• назначая файлам или другим локальным ресурсам списки контроля доступа (ACL), которые разрешают или запрещают доступ отдельным пользователям или группам пользователей;

• назначая (или не назначая) привилегии отдельным пользователям или группам;

• явным образом определив для пользователей или групп один или не­сколько разрешенных способов регистрации, таких как:

интерактивный (регистрация при помощи клавиатуры);

сетевой (регистрация по сетевому соединению);

сервисный (регистрация как сервис, например, сервис сообщений или сервис оповещения).

Запрещая отдельным пользователям или группам использовать привиле­гии, назначая ACL локальным объектам и ограничивая список пользователей, которые могут подключаться к данной рабочей станции, пользователь может управлять своей средой. Если пользователь пожелает, то он может по любой причине запретить доступ к своей машине всем, кроме себя.

В дополнение к доменам, доверяемым доменам и распределенной защите LAN Manager for Windows NT предоставляет зеркализацию дисков и чередование дисков, повышающие отказоустойчивость, а также тиражирование файлов и гра­фические средства администрирования сервера.