Набор унаследованных прав
После создания каталога, подкаталога или файла, каталогу автоматически присваивается полный набор унаследованных прав, т.е. IRM=[отRдо A] – переход всех прав из родительской директории. Для любого отдельного каталога или файла набор унаследованных пар изменяется путем удаления отдельных прав с помощью утилитыALLOWили полноэкранной утилитыFILER(см. ниже)- устанавливаетIRM.
Присваивание прав пользователям
Присвоенными правами называются права, которые присваиваются отдельным пользователям или группам пользователей по отношению к определенным каталогам, подкаталогам, файлам. Присвоенные права отменяют унаследованные права из IRMпо отношению к каталогам и файлам на том уровне структуры каталогов, где они присвоены. – унаследованные права не принимаются во внимание. Действующие = присвоенным.
Присвоенные с помощью утилиты GRANTили полноэкранной утилитыSYSCON(см. ниже).
Присвоение прав по умолчанию
Существует ряд прав, которые присваиваются автоматически пользователям и группам, созданным системой (Администратор может их менять).
SUPERVISOR– имеет полные права по отношению ко всем компонентам сети.
GUEST– имеет права в каталогеSYS:MAIL\№ пользователя. Но все остальные его права ограничиваются теми, которые он имеет как член группыEVERYONE.
EVERYONE– получает следующие права:
Create – в каталоге SYS:MAIL
Read– в каталоге SYS:PUBLIC
FileScan – в каталоге SYS:PUBLIC
Таким образом, для определения действующих прав необходимо знать, какие права были заданы
на уровне присвоения прав пользователю
на уровне присвоения прав группе, к которой принадлежит пользователь
были отменены в IRM
Пользователь с правом Supervisoryимеет все права во всей соответствующей структуре каталогов ниже того, по отношению к которому действует это право. Будучи однажды присвоено, это право не может быть отменено на более низких уровнях структуры каталогов.
Алгоритм определения эффективных/действующих прав пользователя в директории:
Р
Д
– права родительской директории.
Является ли Sдействующей в родительской директории.ER– эффективные права
Существует ли для данной директории явное присвоение права доверенного пользователя
Разрешен ли IRMвсе права
S– супервизорское право
ТА – явно присвоены Trustee– права доверенного пользователя
Функции IRM
Если пользователю не были присвоены никакие права по отношению к каталогу или файлу, то действующие права наследуются из родительского каталога, пока некоторые из них не будут отменены с помощью маски унаследованных прав данного каталога или файла. Если эти права необходимо вернуть на каком-либо из более низких уровней, чем тот, на котором они были отменены, то необходимо произвести новое присвоение этих прав на данном уровне.
|
Права пользователя в родительском каталоге |
|
R |
W |
C |
E |
M |
F |
A |
DIR1 |
|
|
|
|
: |
|
|
: |
|
|
|
|
IRM каталога SUBDIR1 (маска каталога) |
S |
R |
|
C |
E |
|
F |
A |
|
|
|
|
|
|
|
|
|
|
|
|
|
Действующие права пользователя в подкаталоге SUBDIR1 |
|
R |
|
C |
E |
|
F |
A |
SUBDIR1 |
|
|
|
|
|
|
|
|
|
|
|
|
IRM каталога SUBDIR1a |
S |
R |
W |
C |
E |
M |
F |
A |
SUBDIR1a |
|
Действующие права |
|
R |
|
C |
E |
|
F |
A |
|
|
|
|
|
|
|
|
|
|
|
|
|
IRM файла File1 |
S |
R |
|
|
|
|
F |
|
File1 |
|
Действующие права пользователя по отношению к файлу File1 |
|
R |
|
|
|
|
F |
|
|
пример 1
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Присвоенные права пользователя в данной директории |
|
x |
x |
x |
x |
x |
x |
|
|
IRM |
|
x |
|
|
|
|
x |
|
|
Действующие |
|
x |
x |
x |
x |
x |
x |
|
пример 2
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Присвоенные права пользователя в данной директории |
|
|
|
|
|
|
|
|
|
IRM |
|
|
x |
|
|
|
x |
|
|
Действующие |
|
|
|
|
|
|
|
|
Маска IRMдействует на наследованные права, не на присвоенные.
X– присвоенные
– унаследованные
пример 3
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Имя пользователя |
|
x |
x |
|
|
|
|
|
|
Имя группы |
|
x |
|
x |
|
|
|
|
|
Присвоенные права пользователя в данной директории |
|
x |
x |
x |
x |
|
|
|
|
IRM |
|
x |
x |
|
|
|
x |
|
|
Действующие |
|
x |
x |
x |
x |
|
|
|
пример 4
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Имя пользователя |
|
x |
x |
|
|
|
|
|
|
Имя группы |
|
x |
|
x |
|
|
|
|
|
Присвоенные права пользователя в данной директории |
|
|
|
|
|
|
|
|
|
IRM |
|
x |
X |
|
|
x |
|
|
|
Действующие |
|
x |
x |
|
|
|
|
|
Утилиты:
GRANT– присвоение прав пользователям
RIGHTS– перечень прав пользователей в каталоге
TLIST– список пользователей и соответствующих прав по отношению к каталогам или файлам
пример 5
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Родительская директория |
|
|
|
x |
x |
|
|
|
|
Присвоенные права пользователя в данной директории |
x |
x |
|
|
|
|
x |
|
|
IRM |
|
|
|
x |
x |
|
|
|
|
Действующие |
x |
x |
|
|
|
|
|
x |
Если пользователю назначаются права в какой-либо конкретной директории, то маска наследования IRMне действует (это доверенный пользовательTrusteeRights).
Это на конкретном уровне.
Ниже действует IRM.
|
|
S |
R |
W |
C |
E |
M |
F |
A |
|
Родительская директория |
|
|
|
x |
x |
|
|
|
|
Присвоенные права пользователя в данной директории |
x |
x |
|
|
|
|
x |
|
|
IRM |
|
|
|
x |
x |
|
|
|
|
Действующие |
x |
x |
|
|
|
|
|
x |
После создания каталога в нем действует набор наследованных прав (если нет непосредственного присвоения прав в данном каталоге). Как только происходит присвоение – IRMне действует.
Пользователю могут быть назначены все права => SYSCON