Информатика в техническом университете / Информатика в техническом университете. Телекоммуникации и сети
.pdf8. Архитектура сетевых ОС NetWare
Таблица 8.19. Список возможньп прав по отпошепию к свойству объекта
1 Право |
1 Обозначение1 |
Описание |
|
Supervisor |
S |
Гарантирует все привилегии по отношению к свой |
|
|
ству объекта. Это право может быть блокировано |
|
|
|
фильтром наследуемых прав IRF, который может быть |
|
|
|
назначен для свойства. Фильтры IRF назначаются для |
|
|
|
объекта и его свойства отдельно |
|
|
Compare |
С |
Позволяет при поиске объекта (например, с помо |
|
|
щью утилиты NLIST) сравнивать значение свойства с |
|
|
|
любой константой. Однако это право не обеспечивает |
|
|
|
чтение значения свойства. После операции сравнения |
|
|
|
возвращается результат: True или False |
|
|
Read |
R |
Позволяет читать значение свойства из БД NDS. |
|
|
Право Read включает право Compare |
|
|
Write |
W |
Позволяет добавлять, изменять или удалять зна |
|
|
чение свойства. Право Write включает право Add Self |
|
|
Add Self |
A |
Позволяет опекуну (User) добавлять или удалять |
|
|
самого себя как значение свойства. Это право имеет |
|
|
|
смысл только для свойств, которые содержат имена |
|
|
|
пользователей в качестве значений, например, для |
|
|
|
свойства Members (участники) объекта Group (груп |
|
|
|
па). |
1 |
|
Права по отношению к свойствам могут быть назначены сразу для всех свойств объекта (АН Properties) или для выбранного свойства (Selected Properties). Во втором случае права для выбранного свойства замещают пра ва, назначенные через опцию АН Properties. Следует также отметить, что пра ва для выбранного свойства (Selected Properties) не наследуются, а права для всех свойств объекта (АН Properties) наследуются.
Права и фильтры наследуемых прав назначаются администратором с помопц>ю утилит NetWare 4.х/5.х (NetWare Administrator). Но назначение прав объектов по отноше1шю ко всем требуемым объектам и свойствам - это уто мительная задача. Предлагаемый в NetWare 4.х/5.х механизм наследования прав в дереве NDS напоминает механизм наследования прав в файловой сис теме.
Определения опекуна (Trustees), фильтра наследуемых прав (IRF), наследу емых прав, эффективных прав совпадают с соответствующими определения ми для файловой системы. Только понятия файл, каталог, пользователь (группа пользователей) следует заменить соответственно на оконечный объект, кон тейнерный объект, произвольный объект. Ниже приведены эти определения.
520
|
8,6. Механизмы защиты информации |
|
||
|
1 |
Наследуемые права |
|
|
|
I |
(включая права группы 1) |
|
|
|
IRF |
|
|
|
|
i |
|
11 |
|
|
Файл или каталрг |
|
||
Объект А |
Г^ Только группа 2 |
^ Н е т |
||
и, может быть, |
|
является |
|
опекунов |
группа 2 |
|
опекуном |
|
|
являются |
|
|
|
|
опекунами |
|
|
|
|
объекта Б |
|
|
|
|
(или его |
|
|
|
^' |
] свойств) |
|
|
|
|
Эффективные |
\ |
|
|
Эффективные |
права = опекунские |
' , , |
|
права = |
|
назначения |
>:^ффективные |
|
наследуемые |
|
(объекта А |
"Р»»» = опекунские |
права & IRF |
||
и группы 2)+ |
назначения |
|
|
|
наследуемые права |
>Г_РУ?1™_ ^.Т. |
|
|
|
1'олько от группы 1 |
наследуемые права |
|
||
1felRF |
только & IRF |
|
|
|
Рис. 8.53. Схема определения ОС NetWare эффективных прав объекта А к объекту Б (или его свойствам):
+ и & - логические операции ИЛИ и И
Опекун (Trustees) - объект, которому администратор с помощью утилиты (на пример NetWare Administrator) явно назначает права к какому-либо объекту (или его свойствам). Такие права называются опекунскими назначениями.
Фильтр наследуемых прав (IRF - Inherited Right Filter) - характеристика объекта (или его свойств), определяющая, какие права данный объект (или его свойства) может унаследовать от родительского контейнерного объекта. Фильтр назначается администратором с помощью утилиты (например NetWare Admi nistrator).
Наследуемые права - права, передаваемые (распространяемые) от роди тельского контейнерного объекта.
Эффективные права - права, которыми пользователь реально обладает по отношению к другому или тому же самому объекту (или его свойствам).
На рис. 8.53 показана схема формирования ОС NetWare эффективных прав объекта А по отношению к какому-либо объекту Б (или его свойствам). Здесь предполагается, что объект А является участником групп 1 и 2. Ясно, что группы следует учитывать только в том случае, если объект А - это объект типа User (пользователь).
Если объект А является пользователем, то к его эффективным правам до бавляются эффективные права тех объектов, которые указаны в свойстве Security Equal То этого пользователя.
Рассмотрим пример, иллюстрирующий эту схему. Предположим, что адми нистратор сети Admin создал дерево NDS, представленное на рис. 8.54.
521
8. Архитектура сетевых ОС NetWare
I [Root]
0= MSTU
1I OU = CLASS
'1 I ON = User
CN = Admin
Рис. 8.54. Дерево NDS, которое создает администратор Admin
В табл. 8.20 приведены изменения эффективных прав для пользователей Admin и User по отношению к указанным в таблице объектам (предполагает ся, что эти пользователи имеют пустые списки Security Equal То).
Таблица 8.20. Примеры изменения эффективных прав пользователей Admin и User по отношению к объе1Сгам
Право |
Admin |
Пользователь |
|
|
1 |
User |
|
||
|
|
|||
|
Контейнер [Root] |
|
|
|
Наследуемые права |
- |
|
- |
|
IRF |
SBCDR |
|
SBCDR |
|
Опекунские назначения |
SBCDR |
|
- |
|
Эффективные права |
SBCDR |
|
- |
|
|
Контейнер MSTU |
|
- |
|
Наследуемые права |
SBCDR |
|
|
|
IRF |
SBCDR |
|
SBCDR |
|
Опекунские назначения |
- |
|
- |
|
Эффективные права |
SBCDR |
|
- |
|
|
Контейнер CLASS |
|
- |
|
Наследуемые права |
SBCDR |
|
|
|
IRF |
- |
|
- |
|
Опекунские назначения |
- |
|
SBCDR |
|
Эффективные права |
- |
|
SBCDR |
|
|
Оконечный объект User |
|
|
|
Наследуемые права |
- |
|
SBCDR |
|
IRF |
SBCDR |
|
SBCDR |
|
Опекунские назначения |
- |
|
- |
|
Эффективные права |
- |
|
SBCDR |
1 |
Этот пример иллюстрирует, как администратор Admin может потерять уп равление контейнерньп^ объектом OU = CLASS. Это может произойти в том случае, если Admin назначает пользователя User опекуном объекта 0 U = CLASS с правами [SBCDR]. Пользователь User может сбросить все признаки в филь тре наследуемых прав IRF объекта 0 U = CLASS. Так как право [S] и все
522
8.6. Механизмы защиты информации
остальные права маскируются, то в этом случае Admin не только потеряет управление объектом OU = CLASS, но он даже не сможет увидеть объект в дереве NDS.
Отметим, что после инсталляции файлового сервера:
•пользователь Admin автоматически получает права [SBCDR] по отноше нию к объекту [Root];
•фиктивный опекун [Public] автоматически получает право [В] по отноше нию к объекту [Root]; это означает, что любой пользователь, который подклю чается к сети, еще до Login видит все объекты дерева NDS (право [В] насле дуется от [Root] ко всем объектам).
Санкционирование доступа к консоли файлового сервера
Доступ к консоли файлового сервера можно осуществить посредством ос новной или удаленной консоли (т. е. с PC).
Администратор может защитить основную консоль, используя пункт меню «Lock File Server Console» утилиты MONITOR.NLM (в NetWare 5.x для этой цели используется утилита сервера SCRSAVER.NLM). После ввода произволь ного пароля доступ к консоли (с основной и удаленной) будет заблокирован и администратор может оставить консоль без присмотра. Чтобы разблокиро вать консоль, администратор должен ввести либо ранее указанный пароль, либо пароль Admin.
Для удаленной консоли необходимо с основной консоли ввести следующие команды:
LOAD REMOTE <пароль> LOAD RSPX
Эти команды можно поместить в конфигуращюнный файл AUTOEXEC.NCF. Затем на PC, где необходимо создать удаленную консоль, следует запустить утилиту SYS:SYSTEM\RCONSOLE.EXE и в диалоге ввести <пароль>, указан ный при запуске утилиты REMOTE.
Недостаток такой схемы организащш удаленной консоли заключается в том, что параметр <пароль> при загрузке NLM-модуля REMOTE указывается от крытым текстом. Чтобы скрыть параметр <пароль>, с основной консоли NetWare 4.х/5.х необходимо ввести следующие команды
LOAD REMOVE X
REMOTE ENCRYPT
Далее ОС NetWare 4.х/5.х предлагает ввести пароль для удаленной консо ли. Он вводится скрытым текстом. В результате ОС формирует <код>, кото рый отображается на консоли файлового сервера.
После этого можно использовать следующие команды: LOAD lUEMOVE -Е <код>
523
8. Архитектура сетевых ОС NetWare
(вместо приведенной вьппе команды можно просто ввести LDREMOTE.NCF) LOAD RSPX
На PC указьгоается пароль, который администратор ввел с основной консо ли скрытым текстом.
%Л. Диалоговые интерфейсы
Текстовый и графический интерфейсы ОС
В ОС NetWare используются утилиты следующих типов:
•утилиты командной строки (FLAG, RIGHTS, NDIR и т. д.);
•утилиты-меню (FILER, PCONSOLE и т. д.);
•утилиты, вьшолняемые под управлением )\^ndows (NetWare Administrator
идр.).
Для выполнения утилиты командной строки необходимо ввести имя про граммы и параметры. Результаты вьшолнения команды отображаются на эк ране PC. Как таковой диалог здесь отсутствует.
При работе с утилитой-меню используется текстовый диалоговый интер фейс. Чтобы модифицировать какое-либо поле диалогового окна утилиты-меню, необходимо подсветить это поле и нажать клавишу Enter. Для изменения зна чения поля на альтернативное используют клавиши «Стрелка влево» и «Стрел ка вправо». Если это поле ввода, то появляется курсор и можно отредактиро вать значение поля. После повторного нажатия клавиши Enter (или клавишей «Стрелка вверх», «Стрелка вниз») подсвечивается следующее поле диалого вого окна. Если поле связано со списком, то на экране появляется этот список. Используя клавиши Del и Ins, можно отредактировать этот список значений.
При работе с утилитами, которые вьшолняются под управлением A^^ndows, используется графический интерфейс, предоставляемый этой оболочкой.
Диалоговый интерфейс пользователя
Иногда требуется, чтобы после загрузки ОС PC неподготовленный пользо ватель мог бы сразу работать со своими приложениями. Для этого в NetWare предлагаются средства разработки диалогового интерфейса пользователя. Эти средства включают (для NetWare 3.12, 4.x):
•язьпс описания различных окон меню и их пунктов в текстовых файлах *.SRC;
•утилиту MENUMAKE, транслирующую файл *.SRC в файл *.DAT;
•файл NMENU.BAT для запуска файла *.DAT с описаниями меню пользо вателя.
На рис. 8.55 представлена структура файла *.SRC. Здесь показана допус тимая иерархия операторов, которые можно использовать в файле *.SRC (табл. 8.21).
524
8.7. Диалоговые интерфейсы
|
ФАЙЛ •.SCR |
|
MENU |
|
MENU |
I |
|
I |
|
|
[ |
ITEM |
ITEM |
|
|
I |
|
EXEC GETO (GETR, GETP) |
LOAD |
SHOW |
EXEC |
|
|
Рис. 8.55. Структура файла *.SCR с описаниями меню
Таблица 8.21. Операторы, используемые в файле """.SRC
1Оператор
1MENU номер__меню, заголовок_меню
ITEM заголовок_пункта {опции}
EXEC имя_программы
SHOW имя__меню
1 Описание Л Определяет номер и заголовок меню
Определяет заголовок пункта меню
Определяет имя программы, которая выполняется при выборе пункта меню
Определяет подменю, которое отображается при выборе пункта меню. Это подменю должно быть опи сано в том же файле *.SRC
LOAD имя_файла |
Определяет подменю, которое отображается при |
|
выборе пункта меню. Это подменю должно быть опи |
|
сано в другом файле *.DAT |
GETO параметры GETR параметры GETP параметры
Определяют характеристики специального окна, отображаемого на экране для задания параметров программы, которая описывается в следующем опера торе EXEC. Операторы GETO, GETR, GETP отлича ются способами ввода параметров в специальном окне и их описанием в операторе EXEC (для GET?)
На рис. 8.56 показан пример последовательности операторов в файле *.SRC. Чтобы предотвратить выход в DOS, команду NMENU, которая запускает диалоговый интерфейс пользователя, часто помещают в файл AUTOEXEC.BAT
ииспользуют в цикле.
ВNetWare 5.x предлагается интехрированный набор технологий Z.E.N.works Starter Pack, которые обеспечивают следующие возможности
•позволяют управлять PC и рабочими столами пользователей сети;
•предоставляют пользователям сети надежную и простую в использовании сетевую систему, которая поддерживает целостность приложений.
525
8. Архитектура сетевых ОС NetWare
MENU |
Определить 1-е меню |
ГГЕМ |
Определить 1-й пункт меню |
SHOW |
Определить 1-й пункт меню как |
|
подменю, определенное в том же |
|
файле •.SCR |
MENU |
Определить 2-е меню |
ITEM |
Определить 1-й пункт меню |
LOAD |
Определить 1-й пункт меню как |
|
подменю, определенное в другом |
|
файле • . 6 А Г |
ITEM |
Определить 2-й пункт меню |
EXEC |
Определить программу, которая |
|
будет выполняться при выборе |
|
этого пункта меню |
ITEM |
Определить 3-й пункт меню |
GETO |
Описать имя поля для задания 1-го |
|
параметра программы, |
|
от)еделенной ниже в операторе |
GETO |
Описать имя поля для задания 2-го |
|
параметра программы, |
|
отеделенной ниже в операторе |
EXEC |
Определить программу, которая |
|
будет выполняться при выборе |
|
этого пункта меню |
Рис. 8.56. Пример последовательности операторов в файле *.SRC
Интернационализация диалоговых интерфейсов
ОС NetWare можно настроить так, чтобы сообщения системы отобража лись на требуемом национальном языке. Можно изменить язык сообщений, отображаемых:
•операционной системой на консоли файлового сервера;
•NLM-модулями на консоли файлового сервера;
•утилитами NetWare на экране PC;
•модулями программного обеспечения клиента на экране PC.
Для изменения языка, используемого для вьюода сообщений ОС на консоль файлового сервера, необходимо подготовить соответствующий модуль SERVER.MSG и поместить его в каталог, откуда загружается головная программа ОС NetWare SERVER.EXE.
Для вывода сообщений NLM-модулей на требуемом язьпсе необходимо с консоли файлового сервера ввести команду
LANGUAGE пшпЬег
где пшпЬег определяет национальный язык сообщений. В частности число 4 соответствует английскому языку, а 13 - русскому.
На рис. 8.57 представлена структура каталогов, где должны храниться со общения NLM-модулей. При инсталляции файлового сервера обычно устанав ливается только каталог с именем 4, где хранятся модули *.MSG описания сообщений на английском языке для соответствующих NLM-модулей.
526
8.7. Диалоговые интерфейсы
Sn
SYS 1 |
I n |
|
|
|
|
1 |
Г |
1 |
h |
|
|
SYSTEM 1 |
|
|
|||
|
NLS |
-€ ZZD—1 |
|
||
|
|
|
4 |
4_ |
1 monitor.msg |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
1 install.msg |
|
|
|
4_ \—1 |
|
|
|
|
|
13 |
4_ |
j monitor.msg |
|
|
|
|
||
|
|
|
|
-cz |
I install.msg |
Рис. 8.57. Структура каталогов, где хранятся сообщения NLM-модулей
Для вывода сообщений утилит NetWare и модулей программного обеспече ния клиента на требуемом язьпсе используется переменная NWLANGUAGE среды DOS, которая устанавливается, как правило, в файле C:\NWCLIENT\ STARTNET.BAT, создаваемом при инсталлящш рабочей сташщи:
SET NWLANGUAGE=language
где language - один из следующих язьпсов: English, Duetsh, Espanol, Francais, Italiano.
=SYS h1 |
I |
r^ 1 |
|
|
|
|
1 |
|
|
|
|
|
|
PUBLIC |
1NLS |
hikzzbn |
|
|
||
|
|
4_ |
1 filer.msg |
|||
|
|
|
ENGLISH |
|||
|
|
|
|
|
|
1 flag.msg |
|
|
|
- i |
f—1 |
|
|
|
|
|
DUETCH |
- \ _ |
1 filer.msg |
|
|
|
|
|
|
||
|
|
|
1 |
|
H— 1 flag.msg |
|
1
PHC. 8.58. Структура каталогов, где хранятся сообщения утилит NetWare
527
8. Архитектура сетевых ОС NetWare
NWCLIENT |
Ъ J |
|
NLS |
1 |
|
|
1 |
1 |
|
FNGT TSH - l _ |
|
|
|
H— |
|
J |
1 |
|
т |
1 |
|
DUETCH |
|
1 Isl.msg
1 vlm.msg
1 Isl.msg
1 vlm.msg
Рис. 8.59. Структура каталогов, где хранятся сообщения модулей программного обеспечения клиента станции
На рис. 8.58 представлена структура каталогов, где должны храниться сооб щения утилит NetWare. При инсталляции файлового сервера обычно устанав ливается только каталог с именем ENGLISH.
На рис.8.59 изображена структура каталогов и файлов с сообщениями мо дулей программного обеспечения клиента PC.
При инсталляции PC обычно устанавливается каталог с именем ENGLISH. Форматы даты, времени и числа, используемых на PC, описываются в фай ле C:\NWCLIENT\LCONFIG.SYS. Примеры форматов для USA, используе
мых по умолчанию, представлены в табл. 8.22.
Таблица 8.22. Примеры форматов для USA
Страна |
Дата |
Время |
Число |
USA |
09/22/02 |
8:37:00 РМ |
12,345.67 |
Следует отметить, что в NetWare 4.11 имеется серьезная ошибка, свя занная с поддержкой русского языка. При задании на сервере кода страны 7 и кодовой страницы 866 некоторые программы (MHS, FTR Services и др.) работают некорректно. В NetWare 5 осталась проблема поддержки русско го языка на сервере.
528
9. АДМИНИСТРИРОВАНИЕ И ОПЕРАТИВНОЕ УПРАВЛЕНИЕ В ОС NETWARE
Рассмотрены вопросы администрирования операционной и информационной среды. Описана пользовательская операционная среда рабочей станции и файлового сервера. Приведены практические рекомендации по установке и настройке сетевой ОС NetWare 3.x, 4.Х/5.Х. Изложены основные принципыуправления сетевымиресурсами. Приведен обзор команд оперативногоуправления и показано, как осуществляется наблюдение и контроль состояния системы. В заключении главы излож'ены основы разработки приложений для NetWare. Приведены структура и правила написания NLM-модулей и организация APIинтерфейса для разработки программ на языке С.
9.1. Администрирование операционной среды
Пользовательская операционная среда рабочей станции
В NetWare в качестве ПО клиента PC используется так назьшаемый 16разрядный клиент (NetWare 3.x, NetWare 4.x) и 32-разрядный клиент (NetWare 4.x, NetWare 5.x). Рассмотрим особенности установки и организации 16-раз рядного клиента (Client16).
Начальная установка ПО 16-разрядного клиента PC выполняется с дискет. Для DOS обьршо используют следующие дискеты: NetWare 3.x - WSDOSl, WSDOS_2, WSDRV_2, NetWare 4.x - WSDOS_l, WSWIN_1, WSDRV__1, WSDRV^2.
Так как NetWare 4.x поставляется на CD-ROM, то дискеты можно создать в DOS, используя утилиту
D:\CLffiNT\DOSWIN\MAKEDISK <диск>:
где D - драйв CD-ROM, <диск> - драйв гибкого диска 3,5".
Для инсталляции PC необходимо с дискеты WSDOSl запустить програм му INSTALL.EXE и далее следовать инструкциям этой утилиты.
529