- •38. Репликация в Active Directory.
- •39. Реплики. Сравнение репликации в аd c Novell.
- •40. Безопасность ad. Механизм делегирования.
- •41. Наследование прав в Novell Netware. Сравнение с Windows, Unix. Эквивалентность прав.
- •42. Защита входа в Novell Netware. Подпись пакетов. Sas, pki, nsso, nmas, nici
- •43. Система безопасности eDirectory и файловой системы
- •44.Атрибуты файлов и каталогов.
- •45. Основные компоненты Novell
- •46. Данные, хранимые в учетной карточке. Месторасположение базы данных учетных записей в Unix-системах. Шифрование
- •47. Виды пользователей в unix-системах. Группы. Основные …. Пароль групп.
- •48. Флаги в unix. Команды просмотра и изменения. Аналоги флагов в других операционных системах.
- •49. Файлы и права доступа к ним в unix. Классификация пользователей по отношению прав доступа к файлам?, ее недостаток и достоинства.
- •50. Виды доступа к файлам в unix. Синтаксис изменения команд прав доступа. Используемые в Unix сочетания битов прав доступа к файлам и директориям.
- •51. Владелец файла, права доступа вновь создаваемого файла. Изменение прав досупа при копировании и перемещении файла. Права доступа, при создании файла
- •52. Понятие межсетевых экранов. Причины их использования. Возникающие проблемы. Соответствие категорий мэ уровням модели osi. Nat.
- •53. Межсетевые экраны канального уровня. Мэ с фильтрацией пакетов. Анализируемая информация. Достоинства и недостатки.
- •54. Мэ сеансового уровня. Nat.
- •56. Мэ прикладного уровня. Особенности. Достоинства и недостатки.
- •57 Межсетевые экраны экспертного уровня.
39. Реплики. Сравнение репликации в аd c Novell.
Для отказоустойчивости может храниться несколько копий edirectory – реплики. При значительном объеме, edirectory можно расчленить на несколько разделов и хранить на разных серверах.Тиражирование разделов основано на временных метках, которые присваиваются каждому событию.
Существует несколько типов реплик:
Главная (master) - работая с ней можно добавить/убрать или объединить реплики этого раздела. У каждого раздела только одна главная реплика, которая по умолчанию размещается на первом сервере дерева каталогов (первый созданный сервер). Далее местоположение можно изменить.
Чтение/запись - используются для уменьшения задержек в сети и располагается ближе к пользователям, которые в ней нуждаются. Их может быть любое число и они способны обрабатывать запросы на модификацию объектов eDirectory.
Только для чтения - получают обновленные данные при синхронизации с главной репликой или с репликой записи/чтения и неспособны сами обрабатывать запросы на модификацию объектов eDirectory.
Фильтрованная реплика чтения/записи и фильтр. реплика чтения - содержат отфильтрованный набор объектов.
Реплика, подчиненная ссылке - используют когда сервер содержит реплику родительского раздела, но не содержит реплику дочернего раздела. В этом случае, указатели на указанную реплику хранятся в реплике подчиненной ссылки
Как и в AD запросы на обновление обрабатываются автоматически. Автоматически происходит синхронизация. Для обеспечения производительности и надежности рекомендуется иметь две, три реплики каждого раздела и хранить их на разных серверах.
Есть два вида репликаций : 1) Внутриузловая - при изменении в каталоге какого либо свойства, система ожидает некотрое время, затем происходит репликация (если сменили имя или пароль УЗ- сразу же)
2) Межузловая - проходит по определенному расписанию.
40. Безопасность ad. Механизм делегирования.
Объекты AD защищены ACL. ACL содержит записи, которые относятся: к объекту в целом, к отдельным атрибутам объектов. По умолчанию создатель объекта имеет к нему полный доступ. Поддержка уточненного типа доступа к контейнерным объектам, где определено: кто может создавать дочерние объекты, какие именно объекты могут быть созданы. Поддержка делегирования полномочий (пользователям и группам).
Механизм делегирования
После создания домена все полномочия на управление сосредоточены в руках администраторов домена. Есть возможность делегировать выполнение определенной части задач на квалифицированных пользователей. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Делегирование полномочий на выполнение операций подразумевает предоставление пользователю необходимых разрешений на доступ к объектам каталога:
- на создание дочерних объектов
- их удаление
- изменение атрибутов и т. п.
Операция делегирования административных полномочий осуществляется через «Delegation of Control Wizard» (Мастер делегирования полномочий). Может быть вызван из оснасток «AD – Пользователи и компьютеры» и «AD – Сайты и службы». Режимы делегирования:
-Мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю
- Администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей - этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов
ACL объекты AD содержит записи, которые относятся:
1) к объекту в целом 2) к отдельным атрибутам объектов