Опекунство

Допустимые права на объект.

Право супервизора (Supervisor). Опекун получает все права доступа к объекту. Опекун с правом супервизора на объект имеет также неограниченный доступ ко всем свойствам объекта. Право может быть ограничено фильтром унаследованных прав.

Право на просмотр (Browse). Предоставляет возможность видеть объект в NDS.

Право на создание (Create). Может предоставляться только для контейнерного объекта. Означает, что опекун может организовать в контейнере объекты NDS (контейнерные и лист -объекты).

Право на удаление (Delete). Предоставляет опекуну возможность удалять объекты NDS. Контейнерный объект может быть удалён только тогда, когда будут удалены все объекты, входящие в контейнер.

Право на переименование (Rename). Обладая этим правом, можно переименовывать объекты.

Допустимые права на свойство

Право супервизора (Supervisor). Опекун получает все права на свойства. Это право может быть ограничено фильтром унаследованных прав.

Право на сравнение (Compare). Даёт возможность сравнивать содержимое свойства с некоторым указанным значением. Используя право на сравнение, в результате операции сравнения получают значение Истина (True) или Ложь (False). Однако это право не даёт возможности увидеть содержимое свойства. Если Вы обладаете правом на чтение, то вместе с ним Вам предоставлено и право на сравнение.

Право на чтение (Read). Вы получаете право читать значение свойства. Одновременно Вы получаете и право на сравнение.

Право на запись (Write). Вы получаете право дополнять, изменять или удалять значения свойств.

Право добавить или удалить себя (Add or Delete Self). Опекуну разрешается вносить или удалять самого себя в качестве значения свойств.

Разным пользователям нужен разный тип доступа к различным каталогам, файлам, объектам NDS и свойствам объектов. В своем собственном подкаталоге Вам нужен неограниченный доступ, то есть возможность создавать, удалять и модифицировать файлы по желанию. Но Вы должны иметь ограниченный доступ к другим каталогам (Вам нужно только иметь возможность запускать программы, а не удалять или модифицировать программные файлы), а к некоторым каталогам доступ Вам вообще не нужен.

Как сетевой администратор назначает различные уровни доступа? Для этого используется средство защиты на уровне опекуна (trustee security) NetWare. Для того чтобы предоставить пользователю доступ к каталогу, файлу, объекту NDS или свойству объекта, администратор делает его опекуном (trustee) этого каталога. Как опекун, пользователь может просматривать и использовать файлы данного каталога, а также обращаться к объектам NDS и их свойствам.

Чтобы NetWare знала, кто и на что обладает правами, для каждого каталога, каждого файла, каждого объекта и каждого свойства объекта NDS создаётся список, в котором записано, кто обладает правами на них. Этот список опекунов управляется из свойства объекта, называемого Access Control List.

Права опекуна могут задаваться как индивидуально для пользователя, так и для групп. Существует возможность создавать группы, наделять каждую группу соответствующими правами и превращать пользователей в членов соответствующих групп. Таким образом, каждый пользователь, являющийся членом группы, обладает и теми правами, которыми наделена группа.

Управление разделами и репликация.

В целях большей надёжности NDS распределяется на множестве серверов с помощью механизма копирования отдельных частей базы данных. Таким образом, на нескольких серверах существуют копии информации о пользователях и ресурсах.

Поскольку база данных NDS используется всеми серверами сети и, если эта база будет храниться на одном сервере, то в случае выхода из строя этого сервера, сеть не сможет работать. Чтобы избежать такой проблемы, операционная систе­ма NetWare хранит несколько копий NDS на разных серверах. Такие копии называют репликами базы данных NDS. Тогда при необходимости остальные серверы получат необходимые данные из реплики NDS, хранящейся на другом сервере.

Если база данных NDS имеет значительный объем, может оказаться неэффек­тивным целиком хранить ее на нескольких серверах одновременно. В этом случае можно разделить базу данных на несколько частей и хранить каждую часть отдель­но. Для обеспечения надежности каждая такая часть может быть продублирована на разных серверах сети. Части базы данных NDS называют разделами (partitions) каталога. Раздел каталога — это отдельная ветвь дерева каталога, начинающаяся с любого контейнерного объекта на ваш выбор. Каждый раздел может содержать в себе несколько подразделов. Их называют дочерними разделами (childpartitions). Если база данных NDS небольшая, она может состоять всего из одного раздела. Использование разделов значительно увеличивает производительность сети, осо­бенно если вы имеете дело с глобальной вычислительной сетью (Wide Area Network, WAN), сегменты которой географически удалены друг от друга. Кроме того, осу­ществлять администрирование деревом NDS в целом сложнее, чем его частями по отдельности. Обычно каждый раздел включает в себя серверы, расположенные в одном гео­графическом регионе. Это позволяет снизить передачу служебной информации через каналы связи WAN.

Существуют четыре типа реплик:

• Главная реплика (Master replica). Только работая с главной репликой раздела каталога, можно добавить, убрать или объединить реплики этого раздела. У каж­дого раздела может быть только одна главная реплика. По умолчанию главная реплика хранится на самом первом установленном в дереве каталога сервере, однако, позже расположение главной реплики можно изменить.

• Реплика для чтения и записи (Read-write replica). Реплики этого типа могут об­рабатывать запросы на модификацию объектов NDS. В рамках одной сети мо­жет существовать любое количество реплик для чтения и записи.

• Реплика только для чтения (Read-only replica). Информация из этой реплики может быть только прочитана, но ее невозможно изменить. В рамках одной сети может существовать любое количество таких реплик.

• Реплика подчиненной ссылки (Subordinate reference replica). Если сервер содер­жит реплику родительского раздела, но не содержит реплику дочернего раздела, то на нем создается реплика подчиненной ссылки. Реплика подчиненной ссыл­ки содержит указатели на объекты, информация о которых хранится в дочер­нем разделе. Реплики подчиненной ссылки создаются автоматически в случае I необходимости. Их нельзя создать вручную.

Служба каталога Novell обрабатывает запросы на изменение каталога NDS ав­томатически, без участия администратора, поэтому, чтобы внести изменения в базу данных каталога, не требуется определять, какую реплику необходимо для этого использовать. Администратор работает с базой данных NDS, как с единым це­лым, а служба каталогов выполняет всю вспомогательную работу, связанную с обслуживанием реплик. Любое изменение информации в реплике автоматичес­ки синхронизируется с остальными репликами.

Как правило, для обеспечения приемлемого соотношения производительности и надежности достаточно иметь две или три реплики каждого раздела, хранящиеся на разных серверах сети. Если количество реплик будет велико, по каналам свя­зи будет передаваться чрезмерный объем служебной информации, связанной с синхронизацией. Официально рекомендуется иметь три реплики.

В процессе установки нового сервера в рамках уже существующего дерева NDS программа установки определяет текущее количество реплик раздела, в котором происходит установка. Если количество реплик равно трем или превышает это число, то новая реплика не создается. Для создания, удаления, слияния или восстановления разделов и реплик необхо­димо использовать утилиту NDS Manager.

Контрольные вопросы:

1. Каковы функции протокола LDAP?

2. Что такое схема каталога?

3. Каковы функции контроллера домена?

4. Что такое сайты?

5. Какие типы прав существуют в Netware?

6. Что такое опекунство?

7. Что такое разделы eDirectory?

8. Какие типы реплик существуют в Netware?

Лекция 16.

Дата добавления: 2014-01-06; Просмотров: 242; Нарушение авторских прав?; Мы поможем в написании вашей работы!