Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ОСКМ лекції.docx
Скачиваний:
0
Добавлен:
13.08.2024
Размер:
7.28 Mб
Скачать

1.3. Управління доступом до об’єктів nds.

Система обмежень доступу до об’єктів NDS розділяє всі права доступу на дві групи:

  • права на об’єкти

  • права на властивості

Права на об’єкти задають обмеження доступу до об’єкту як єдиного цілого. Об’єкт можна створювати, знищувати, перейменовувати, але немає доступу до конкретних властивостей об’єкту.

Права на властивості задаються для кожної властивості об’єкту окремо. Вони дозволяють читати значення властивості, міняти його, виконувати пошук.

Якщо якомусь об’єкту (наприклад, користувачу) присвоєно якесь право доступу до іншого об’єкту (наприклад, тому), то перший об’єкт (користувач) називається довірителем (довіреною особою, trustee) другого об’єкта. Розглянемо більш детально основні права доступу.

1.3.1.Права на об’єкти.

S

Supervise

Адміністрування

Дає всі права на об’єкт та його властивості. Право адміністрування може бути блоковано за допомогою IRF нижче того місця дерева, де воно було виділено.

B

Browse

Перегляд

Право бачити об’єкт у дереві. Якщо виконується пошук об’єкту, це право дає можливість знаходити об’єкт

C

Create

Створення

Право створювати новий об’єкт в межах даного контейнерного об’єкту.

D

Delete

Знищення

Дозволяє знищити об’єкт з дерева каталогів. Контейнерний об’єкт може бути знищено тільки якщо попередньо знищені всі його кінцеві об’єкти.

R

Rename

Перейменування

Дозволяє міняти ім’я об’єкта.



1.3.2.Права на властивості.

S

Supervise

Адміністрування

Всі права на властивість. Це право може бути блоковано IRF на нижчому рівні дерева.

C

Compare

Порівняння

Дозволяє порівнювати довільне значення зі значенням властивості. Це право не дає можливості бачити значення властивості.

R

Read

Читання

Дозволяє читати значення властивості. Включає в себе право «Compare»

W

Write

Запис

Дозволяє додавати, змінювати або знищувати значення у властивостях. Це право включає право «Add...» та еквівалентно праву «Supervise»

A

Add or Delete Self

Додавання або знищення себе

Дозволяє додавати або знищувати себе як частину властивості. Діє в списках таких як списки членів групи. Інші частини списків змінювати не можна.



Кожний об’єкт має серед своїх властивостей компоненту, яка називається ACL (Access Control List). ACL – це список об’єктів – довірених осіб даного об’єкту – з вказанням їх прав. Приклад ACL наведено на рис. 1.

Trustees of this object: student (Довірителі об’єкту: студент )

property, rights, trustee (властивість, права, довіритель.)

[All properties right]

[Object rights]

[All properties]

City

[ R ]

[ R ]

[CRWAS ]

[CRWA ]

another_student

another_student

admin

a_student

Рис. 1. Приклад ACL.

Для спрощення призначення прав виділені дві групи прав: всі права на властивості та всі права на об’єкт. Виділені права позначаються своєю першою буквою. Якщо право не виділено, відповідної букви немає. У третій колонці вказано об’єкти, що мають ці права.

Кожному об’єкту на рівні контейнера або директорії можуть бути виділені певні права. В цьому випадку ці права успадковуються для всіх об’єктів цього контейнера, або для всіх вкладених директорій у дану. Для обмеження наслідування прав використовується IRF (Inherited Rights Filter) – фільтр успадкування вниз по дереву. Приклад IRF наведено на рис.2.

Inherited rights filters (Фільтри наслідуваних прав.)

[Object rights]

City

[CR A ]

[CRWA ]

Рис.2. Приклад відображення IRF.

В списку фільтрів успадкованих прав в лівій частині вказуються всі права, на які встановлено фільтри. В правій частині в квадратних дужках вказуються всі права, що успадковуються.

Розглянемо приклад використання наслідування прав та використання фільтрів успадкованих прав. (рис 3). Користувачу Ніку на рівні контейнера SALES виділено набір прав на контейнер [BCDR]

В цьому списку немає права S. Ці права користувач Нік автоматично наслідує на всі вкладені у контейнер об’єкти: профайл MANAGEMENT

групу ACCOUNTING, відображення каталогу SPREADSHEET. Разом з тим, для об’єкту SPREADSHEET встановлено IRF [SB]. Тому користувач Нік для цього об’єкту має в ефективних правах тільки [B]. Для групи ACCOUNTING взагалі встановлено пустий фільтр успадкування. Тому Нік для цієї групи ніяких прав не успадковує.

Рис. 3. Приклад наслідування та фільтрування прав.

Кожний об’єкт – користувач по своїм правам може бути прирівняний до іншого об’єкту. Одною з властивостей об’єкту – користувача є список, що називається «еквівалентність прав» (security equivalence). В цьому списку задаються інші об’єкти (користувачі, групи користувачів, посадові особи) які по своїм правам еквівалентні правам даного користувача. Присвоєння прав через список еквівалентності – це найшвидший спосіб присвоєння прав користувачу, не вимагає глибоко обдумування деталей прав доступу і використовується для тимчасового присвоєння прав користувачу.

Результуючі права користувача, які формуються як комбінація прав ACL, наслідуваних прав, прав присвоєних через еквівалентність, називаються ефективними правилами.