Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
госы / OSSO.docx
Скачиваний:
59
Добавлен:
20.05.2015
Размер:
88.15 Кб
Скачать

Механизм контроля доступа к разделяемым ресурсам в локальной сети [1, тема 2].

Существуют различные виды ресурсов, с которыми пользователи работают в режиме совместного использования. Во всех случаях действует общая схема: пользователи пытаются выполнить с разделяемым ресурсом определенные операции, а операционная система должна решать, имеют ли пользователи на это право.

При организации доступа к разделяемым ресурсам обычно считают, что пользователи являются субъектами доступа, а разделяемые ресурсы – объектами.

Пользователи осуществляют доступ к объектам операционной системы не непосредственно, а с помощью прикладных процессов, которые запускаются от его имени.

Система контроля доступа ОС должна предоставлять средства для задания прав пользователей по отношению к объектам дифференцированно по операциям, например, пользователю может быть разрешена операция чтения и выполнения файла, а операция удаления файла запрещена.

Во многих операционных системах реализованы механизмы, которые позволяют управлять доступом к объектам различного типа с единых позиций.

В качестве субъектов доступа могут выступать как отдельные пользователи, так игруппы пользователей.

Объединение пользователей, имеющих одинаковые права доступа, в группу и задание прав доступа в целом для группы является одним из основных приемов администрирования в больших системах.

У каждого объекта доступа существует владелец, который может быть как отдельным пользователем, так и группой пользователей. Владелец объекта имеет право выполнять с ним любые допустимые для данного объекта операции.

Во многих операционных системах существует особый пользователь (superuser,root,administrator, администратор), который имеет все права по отношению к любым объектам системы, не обязательно являясь их владельцем.

Каждый пользователь и каждая группа пользователей обычно имеют символьное имя(часто называемое логином), назначаемое администратором, а такжеуникальный числовой идентификатор (ID), присваиваемый им операционной системой.

При выполнении процедуры логического входа в систему пользователь сообщает свое символьное имя и пароль, а операционная система определяет соответствующие числовые идентификаторы пользователя и групп, в которые он входит. Все идентификационные данные, в том числе имена и идентификаторы пользователей и групп, пароли пользователей, а также сведения о вхождении пользователя в группы хранятся в специальном файле (файл /etc/passwdвUNIX) или в специальной базе данных (вWindowsсемействаNT).

В общем случае права доступа могут быть описаны матрицей прав доступа, в которой столбцы соответствуют всем ресурсам системы, а строки – всем пользователям. На пересечении строк и столбцов указываются разрешенные операции.

Пример матрицы прав доступа к файлам

Файлы

Пользователи

file1.txt

file2.exe

file3.doc

file5.txt

user1

читать

выполнять

читать

читать

user2

читать

выполнять

читать

удалять

user3

читать

читать

user4

читать

писать

читать

удалять

Практически во всех операционных системах матрица прав доступа хранится «по частям», т. е. для каждого файла или каталога создается так называемый список управления доступом (AccessControlList,ACL), в котором описываются права на выполнение операций пользователей и групп пользователей по отношению к этому файлу и каталогу.

Список управления доступом является частью характеристик файла или каталога и хранится в соответствующей области, например, в дескрипторе безопасности (SD) файловой системыNTFS.

Соседние файлы в папке госы