- •Назначение и функции современных операционных систем [1, тема 1].
- •Архитектура операционных систем [1, тема 1].
- •Архитектура операционной системы, основанная на ядре
- •Микроядерная архитектура
- •Мультипрограммирование в современных операционных системах [1, тема 2].
- •Управление основной памятью в современных операционных системах. Виртуальная память [1, тема 2].
- •Классификация алгоритмов распределения памяти
- •Сегментное распределение памяти
- •Кэширование данных в современных операционных системах. Кэш-память [1, тема 2].
- •Организация внешней памяти на магнитных дисках [1, тема 2].
- •Современные файловые системы faTиNtfs[1, тема 2].
- •Файловая система fat
- •Файловая система ntfs
- •Механизм контроля доступа к разделяемым ресурсам в локальной сети [1, тема 2].
- •Пример матрицы прав доступа к файлам
- •Распределенная обработка данных в сетевых операционных системах [1, тема 3].
- •Механизм организации взаимодействия в распределенных системах
- •Назначение и принципы построения службы каталогов в компьютерных сетях [1, тема 3].
Механизм контроля доступа к разделяемым ресурсам в локальной сети [1, тема 2].
Существуют различные виды ресурсов, с которыми пользователи работают в режиме совместного использования. Во всех случаях действует общая схема: пользователи пытаются выполнить с разделяемым ресурсом определенные операции, а операционная система должна решать, имеют ли пользователи на это право.
При организации доступа к разделяемым ресурсам обычно считают, что пользователи являются субъектами доступа, а разделяемые ресурсы – объектами.
Пользователи осуществляют доступ к объектам операционной системы не непосредственно, а с помощью прикладных процессов, которые запускаются от его имени.
Система контроля доступа ОС должна предоставлять средства для задания прав пользователей по отношению к объектам дифференцированно по операциям, например, пользователю может быть разрешена операция чтения и выполнения файла, а операция удаления файла запрещена.
Во многих операционных системах реализованы механизмы, которые позволяют управлять доступом к объектам различного типа с единых позиций.
В качестве субъектов доступа могут выступать как отдельные пользователи, так игруппы пользователей.
Объединение пользователей, имеющих одинаковые права доступа, в группу и задание прав доступа в целом для группы является одним из основных приемов администрирования в больших системах.
У каждого объекта доступа существует владелец, который может быть как отдельным пользователем, так и группой пользователей. Владелец объекта имеет право выполнять с ним любые допустимые для данного объекта операции.
Во многих операционных системах существует особый пользователь (superuser,root,administrator, администратор), который имеет все права по отношению к любым объектам системы, не обязательно являясь их владельцем.
Каждый пользователь и каждая группа пользователей обычно имеют символьное имя(часто называемое логином), назначаемое администратором, а такжеуникальный числовой идентификатор (ID), присваиваемый им операционной системой.
При выполнении процедуры логического входа в систему пользователь сообщает свое символьное имя и пароль, а операционная система определяет соответствующие числовые идентификаторы пользователя и групп, в которые он входит. Все идентификационные данные, в том числе имена и идентификаторы пользователей и групп, пароли пользователей, а также сведения о вхождении пользователя в группы хранятся в специальном файле (файл /etc/passwdвUNIX) или в специальной базе данных (вWindowsсемействаNT).
В общем случае права доступа могут быть описаны матрицей прав доступа, в которой столбцы соответствуют всем ресурсам системы, а строки – всем пользователям. На пересечении строк и столбцов указываются разрешенные операции.
Пример матрицы прав доступа к файлам
|
Файлы Пользователи |
file1.txt
|
file2.exe |
file3.doc |
file5.txt |
… |
|
user1
|
читать |
выполнять |
читать |
читать |
|
|
user2 |
читать |
выполнять |
читать удалять |
– |
|
|
user3
|
читать |
– |
читать |
– |
|
|
user4 |
читать писать |
– |
читать удалять |
– |
|
|
…
|
|
|
|
|
|
Практически во всех операционных системах матрица прав доступа хранится «по частям», т. е. для каждого файла или каталога создается так называемый список управления доступом (AccessControlList,ACL), в котором описываются права на выполнение операций пользователей и групп пользователей по отношению к этому файлу и каталогу.
Список управления доступом является частью характеристик файла или каталога и хранится в соответствующей области, например, в дескрипторе безопасности (SD) файловой системыNTFS.