Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / Безопасность и контроль доступа.doc
Скачиваний:
51
Добавлен:
05.04.2013
Размер:
188.42 Кб
Скачать

Набор унаследованных прав

После создания каталога, подкаталога или файла, каталогу автоматически присваивается полный набор унаследованных прав, т.е. IRM=[отRдо A] – переход всех прав из родительской директории. Для любого отдельного каталога или файла набор унаследованных пар изменяется путем удаления отдельных прав с помощью утилитыALLOWили полноэкранной утилитыFILER(см. ниже)- устанавливаетIRM.

Присваивание прав пользователям

Присвоенными правами называются права, которые присваиваются отдельным пользователям или группам пользователей по отношению к определенным каталогам, подкаталогам, файлам. Присвоенные права отменяют унаследованные права из IRMпо отношению к каталогам и файлам на том уровне структуры каталогов, где они присвоены. – унаследованные права не принимаются во внимание. Действующие = присвоенным.

Присвоенные с помощью утилиты GRANTили полноэкранной утилитыSYSCON(см. ниже).

Присвоение прав по умолчанию

Существует ряд прав, которые присваиваются автоматически пользователям и группам, созданным системой (Администратор может их менять).

SUPERVISOR– имеет полные права по отношению ко всем компонентам сети.

GUEST– имеет права в каталогеSYS:MAIL\№ пользователя. Но все остальные его права ограничиваются теми, которые он имеет как член группыEVERYONE.

EVERYONE– получает следующие права:

  • Create – в каталоге SYS:MAIL

  • Read– в каталоге SYS:PUBLIC

  • FileScan – в каталоге SYS:PUBLIC

Таким образом, для определения действующих прав необходимо знать, какие права были заданы

    1. на уровне присвоения прав пользователю

    2. на уровне присвоения прав группе, к которой принадлежит пользователь

    3. были отменены в IRM

Пользователь с правом Supervisoryимеет все права во всей соответствующей структуре каталогов ниже того, по отношению к которому действует это право. Будучи однажды присвоено, это право не может быть отменено на более низких уровнях структуры каталогов.

Алгоритм определения эффективных/действующих прав пользователя в директории:

РД – права родительской директории.

  1. Является ли Sдействующей в родительской директории.ER– эффективные права

  2. Существует ли для данной директории явное присвоение права доверенного пользователя

  3. Разрешен ли IRMвсе права

S– супервизорское право

ТА – явно присвоены Trustee– права доверенного пользователя

Функции IRM

Если пользователю не были присвоены никакие права по отношению к каталогу или файлу, то действующие права наследуются из родительского каталога, пока некоторые из них не будут отменены с помощью маски унаследованных прав данного каталога или файла. Если эти права необходимо вернуть на каком-либо из более низких уровней, чем тот, на котором они были отменены, то необходимо произвести новое присвоение этих прав на данном уровне.

Права пользователя в родительском каталоге

R

W

C

E

M

F

A

DIR1

:

:

IRM каталога SUBDIR1 (маска каталога)

S

R

C

E

F

A

Действующие права пользователя в подкаталоге SUBDIR1

R

C

E

F

A

SUBDIR1

IRM каталога SUBDIR1a

S

R

W

C

E

M

F

A

SUBDIR1a

Действующие права

R

C

E

F

A

IRM файла File1

S

R

F

File1

Действующие права пользователя по отношению к файлу File1

R

F

пример 1

S

R

W

C

E

M

F

A

Присвоенные права пользователя в данной директории

x

x

x

x

x

x

IRM

x

x

Действующие

x

x

x

x

x

x

пример 2

S

R

W

C

E

M

F

A

Присвоенные права пользователя в данной директории

IRM

x

x

Действующие

Маска IRMдействует на наследованные права, не на присвоенные.

X– присвоенные

 – унаследованные

пример 3

S

R

W

C

E

M

F

A

Имя пользователя

x

x

Имя группы

x

x

Присвоенные права пользователя в данной директории

x

x

x

x

IRM

x

x

x

Действующие

x

x

x

x

пример 4

S

R

W

C

E

M

F

A

Имя пользователя

x

x

Имя группы

x

x

Присвоенные права пользователя в данной директории

IRM

x

X

x

Действующие

x

x

Утилиты:

GRANT– присвоение прав пользователям

RIGHTS– перечень прав пользователей в каталоге

TLIST– список пользователей и соответствующих прав по отношению к каталогам или файлам

пример 5

S

R

W

C

E

M

F

A

Родительская директория

x

x

Присвоенные права пользователя в данной директории

x

x

x

IRM

x

x

Действующие

x

x

x

Если пользователю назначаются права в какой-либо конкретной директории, то маска наследования IRMне действует (это доверенный пользовательTrusteeRights).

Это на конкретном уровне.

Ниже действует IRM.

S

R

W

C

E

M

F

A

Родительская директория

x

x

Присвоенные права пользователя в данной директории

x

x

x

IRM

x

x

Действующие

x

x

x

После создания каталога в нем действует набор наследованных прав (если нет непосредственного присвоения прав в данном каталоге). Как только происходит присвоение – IRMне действует.

Пользователю могут быть назначены все права => SYSCON