Полезная информация

Server for Information Technologies
Сервер поддерживается
Центром Информационных Технологий
(095) 932-9212, 932-9213, 939-0783
E-mail: info@citforum.ru
Сервер Информационных Технологий содержит море(!) аналитической информации

Создание плана доступа

В этой главе описан процесс, используемый при создании плана доступа к сети. Здесь обсуждаются следующие темы.

На способ доступа к сетевым ресурсам сильно влияет глубина дерева Каталога и количество контейнеров.

В односерверных средах, где дерево каталога имеет всего один-два уровня, а требования к защите невелики, разработка плана доступа может и не потребоваться.

Введение

Доступ к сетевым ресурсам и данным файловой системы в среде NetWare 4 управляется технологией Netware Directory ServicesTM (NDSTM ) и операционной системой NetWare. Все сетевые ресурсы входят в единую информационную систему, представляемую деревом Каталога.

Все входящие в дерево логические и физические ресурсы представлены объектами, доступ и управление которыми можно осуществлять в соответствии с их местоположением в структуре дерева.

Данные сетевой файловой системы связаны с деревом Каталога при помощи объектов Том, и представлены в структуре дерева своей связью с соответствующим объектом Том.

Структура дерева Каталога позволяет организовывать ресурсы иерархически. Такая иерархическая структура обеспечивает логичный интуитивный доступ и управление сетевыми ресурсами и сервисами. Кроме того, такая структура дерева упрощает управление защитой, давая возможность производить администрирование на уровне контейнеров или отдельных объектов, в соответствии с потребностями вашей организации.

В процесс создания плана доступа входит ознакомление с доступом к сети в NetWare 4, определение потребностей в доступе, нахождение самой подходящей конфигурации и разработка системы управления доступом.

При создании плана доступа к сети необходимо помнить, что все права и установки доступа распространяются вниз по структуре дерева. Это означает, что при создании эффективного плана доступа к сети следует учитывать структуру дерева Каталога и глобальный доступ к ресурсам дерева.

Кроме того, создаваемый вами план доступа должен гарантировать наиболее эффективное использование процедур регистрации и глобальных объектов с целью обеспечения повсюду в сети быстрого доступа и надежной защиты, не требуя при этом излишних затрат на управление.

Цели и задачи

Необходимо определить требования к доступу и защите для пользователей, приложений и сетевых ресурсов. После этого нужно создать рекомендации по разработке и конфигурированию процедур регистрации и размещению объектов доступа и защиты в дереве Каталога.

Это позволит вам воспользоваться картами ресурсов, картами размещения, картами топологии локальных/глобальных сетей, организационными схемами и имеющимися рекомендациями при определении уровней доступа и защиты, соответствующих требованиям вашей сети.

Предварительные требования

Как осуществляется доступ к сетевым ресурсам

Поскольку сетевые ресурсы находятся в дереве с иерархической структурой, для доступа к конкретному объекту необходима информация об имени этого объекта и его положении в дереве. Пользователи и сетевые ресурсы используют имена объектов для поиска и взаимодействия с другими объектами.

У каждого конечного объекта есть идентифицирующее его имя. Это имя называется общим именем (CN) конечного объекта. Для объектов Пользователь общим именем является регистрационное имя пользователя. У остальных конечных объектов тоже есть общие имена, например, имя объекта Принтер, имя объекта Сервер NetWare или имя объекта Том.

У объектов-контейнеров нет общих имен. Обращение к ним происходит при помощи имени объекта Подразделение (OU), объекта Организация (O) или объекта Страна (C).

Идентификация объектов по имени

Местоположение объекта в дереве называется контекстом. Имя объекта в дереве (имя в Каталоге) определяется полным путем от контекста объекта в дереве до объекта [Root] дерева Каталога.

Полное имя

Полный путь к местоположению объекта в дереве, то есть путь от того места, где он расположен, до объекта [Root], образует полное имя или характерное имя (DN) объекта.

NOTE: Термины "характерное имя" и "полное имя" являются взаимозаменяемыми.

Например, полным именем или полностью характерным именем (DN) объекта Пользователь ESAYERS может быть.

	.CN=ESAYERS.OU=SALES.OU=HQ.O=ACME

NOTE: Объекты в имени разделяются точками, используемыми аналогично символу обратная косая черта (/) в путях DOS. Точка может использоваться в начале строки. Точка в начале строки сообщает NDS, что следует игнорировать текущий контекст объекта и определять имя с объекта [Root]. Точку в конце строки использовать нельзя.

Частичное имя

Текущее положение объекта в дереве Каталога называется текущим контекстом или контекстом имени. Имя Каталога текущего контекста объекта относительно других объектов Каталога называется частичным именем или относительно-характерным именем (RDN).

NOTE: Термины "частичное имя" и "относительно-характерное имя" являются взаимозаменяемыми.

Частичное имя является подмножеством полного имени объекта. Оно позволяет искать и находить другие объекты Каталога при помощи их контекста (положения в дереве) друг относительно друга. Это упрощает обращение к объектам, расположенным близко к объекту, производящему запрос.

В частичном имени объекта используется только та часть полного имени объекта, которая не является общей для других объектов.

Например, частичным именем объекта Пользователь ESAYERS относительно остальных объектов в OU=SALES будет.

	.CN=ESAYERS.

Частичным именем объекта Пользователь ESAYERS, имеющего полное имя

	CN=ESAYERS.OU=SALES.OU=HQ.O=ACME
относительно объекта Принтер с полным именем
	CN=PDLJ4_02.OU=PROD.OU=MFG.O=ACME
будет
	CN=ESAYERS.OU=SALES.OU=HQ.

NOTE: Объекты в имени разделяются точками, используемыми аналогично символу обратная косая черта (/) в путях DOS. Точку можно использовать и в начале, и в конце строки. Точка в начале строки сообщает NDS, что следует игнорировать текущий контекст объекта и определять имя с объекта [Root]. Точка в конце строки позволяет сетевому ресурсу выбирать новый контекст при определении полного имени объекта с объекта [Root].

Частичное имя должно в принципе определяться, начиная с объекта [Root]. Делается это посредством добавления конечной точки в конце частичного имени. Добавление конечной точки заставляет NDS идентифицировать контекст объекта и автоматически определять остальную часть полного имени объекта.

Полнотиповые и бестиповые имена

Характерное имя объекта состоит из объектов разных типов, таких, как общее имя (CN), объекты Подразделение (OU) и объекты Организация (O). Когда в имени объекта используются эти сокращения типов объектов, такое имя называется полнотиповым именем объекта. Например.

	CN=ESAYERS.OU=SALES.OU=HQ.O=ACME

Во многих случаях при обращении к объекту Каталога сокращения типов объектов можно пропустить. Имя такого вида называется бестиповым именем объекта. Например.

	ESAYERS.SALES.HQ.ACME

Если в полном имени объекта не указаны типы объектов, NDS производит определение типа атрибута для каждого объекта, входящего в имя.

Длина имени и глубина дерева

Поддержание подходящей глубины дерева в вашей среде упрощает доступ и управление сетью.

Дерево Каталога должно иметь глубину от четырех до восьми уровней. По мере усложнения среды в связи с ростом числа объектов или увеличением количества территориальных пунктов, подчиняющихся единому управлению, дерево можно легко расширить, чтобы приспособить его к возникшим условиям.

Вместе с тем утилиты командной строки DOS налагают на максимальную длину контекста ограничение в 255 символов. Чем короче имена подразделений (OU), тем большей может быть глубина дерева. Однако чем больше глубина дерева, тем сложнее может оказаться доступ к сетевым ресурсам.

Общее количество символов определяется длиной полного имени объекта в полнотиповом формате. Оно включает сокращения типов объектов, знаки равенства (=) и точки (.).

При создании конечных объектов производится проверка, не превышает ли длина полного имени объекта максимально допустимой.

Однако в случае переименования конечного объекта есть вероятность, что длина его полного имени превысит 255 символов. Следующий пример показывает допустимое полное имя.

	CN=JSMITH.OU=SALES.OU=HQ.O=ACME.ACMECORP

Идентификация объектов Каталога по местоположению

Сетевые ресурсы производят поиск и перемещение в дереве Каталога, чтобы находить объекты в соответствующем им контексте. Например, пользователь может перемещаться из одного контейнера в другой путем сменыконтекстов. Это не означает, что объект этого пользователя перемещается по дереву в другой контекст, а свидетельствует о переключении пользовательского вида дерева Каталога на другой контекст.

Однако, если пользователь сменит контекст, имена объектов для объекта этого пользователя будут строиться относительно его нового текущего контекста. Это позволяет пользователям перемещаться по дереву, чтобы производить поиск и доступ к объектам Каталога в их собственных контейнерах.

Для перемещения по дереву в NetWare 4 имеются графические утилиты и утилиты, работающие в текстовом режиме.

При поиске в дереве Каталога сетевые ресурсы могут использовать как полное, так и частичное имя объекта.

Чтобы объект Пользователь ESAYERS смог получить доступ к объекту Том, размещенному в контейнере HQ, следует воспользоваться следующим оператором назначения.

	MAPбуква_диска:=CN=имя-сервера_имя-тома.OU=HQ.:

Например, чтобы назначить том APPS сервера SALES1 на диск с обозначением G:, следует ввести.

	MAP G:=CN=SALES1_APPS.OU=HQ.:

NOTE: Для доступа к другим объектам дерева можно использовать как полнотиповое, так и бестиповое имя.

Использование объектов, связанных с доступом

Объекты, связанные с доступом, упрощают перемещение по дереву и доступ к часто используемым сетевым ресурсам.

Объект Псевдоним

Объект Псевдоним - это указатель на соответствующий ресурсу объект дерева. Объект Псевдоним может указывать как на объект-контейнер, так и на конечный объект.

Например, пользователи, входящие в контейнер Подразделение SALES, могут получать доступ к объекту Принтер, находящемуся в контейнере Подразделение HQ при помощи объекта Псевдоним, расположенного в их собственном контейнере. Это дает пользователям возможность обращаться к этому принтеру, используя лишь общее имя объекта Псевдоним.

Объект Псевдоним также может указывать из одного объекта Подразделение на другой объект Подразделение. Это позволяет предоставить пользователям, входящим в контейнер с объектом Псевдоним, права на объекты, входящие в контейнер на который указывает псевдоним.

Например, вы можете создать объект Подразделение, содержащий группу серверов приложений. Пользователям, не входящим в этот объект Подразделение, тоже могут потребоваться права доступа к этим серверам. Если вы создадите в контейнере этих пользователей объект Псевдоним, указывающий на контейнер, где содержатся серверы приложений, у этих пользователей будут такие же права на эти серверы приложений, как и у объектов, входящих в контейнер этих серверов.

Именование объектов Псевдоним

Вы можете дать объекту Псевдоним такое имя, которое будет показывать, что это указатель на первичный объект. Например, имя может включать слово Alias, типа ALIAS_MKT_SRV1.

Вы также можете дать объекту Псевдоним имя, не указывающее на его отличие от первичного объекта. Пользователям не обязательно знать разницу, а добавление к имени слова Alias может лишь сбить их с толку.

Связь с первичными объектами

Необходимо знать, как объекты Псевдоним связаны с первичными объектами, на которые они указывают. Объекты Псевдоним могут иметь два различных состояния: имеющие ссылку и не имеющие ссылки .

Когда объект Псевдоним не имеет ссылки, операции, производимые над объектом Псевдоним, совершаются над свойствами первичного объекта. Это означает, что при внесении изменений в объект Псевдоним изменения на самом деле вносятся в первичный объект.

Если объект Псевдоним имеет ссылку, то операции, производимые над объектом Псевдоним, совершаются лишь над самим этим объектом. Такие действия, как перемещение, переименование и удаление, автоматически совершаются в режиме ссылки.

При удалении первичного объекта объект Псевдоним удаляется автоматически.

Объект Назначение каталога

Объект Назначение каталога позволяет объектам, расположенным в одном контейнере, получать доступ к каталогам файловой системы объектов Том, расположенных в другом контейнере. Это полезно в тех случаях, когда приложение или файл находятся только в одном контейнере, а доступ к ним получают объекты, расположенные в нескольких контейнерах.

Например, пользователи в контейнере Подразделение SALES могут получать доступ к объекту Назначение каталога, указывающего на приложение базы данных, хранящееся на томе, расположенном в контейнере Подразделение HQ. Это дает пользователям возможность обращаться к базе данных, используя лишь общее имя объекта Том.

NOTE: Объекты Назначение каталога могут указывать на конкретный объект Том или каталог файловой системы на этом томе.

Объект Назначение каталога может управлять назначениями в процедуре регистрации контейнера или пользователя. Например, если в нескольких процедурах регистрации контейнеров или пользователей делаются отдельные назначения дисков на определенный каталог приложения, то в случае изменения каталога или перемещения приложения в другой каталог каждое из этих назначений придется менять отдельно. Если же для обращения к каталогу приложения процедуры регистрации контейнеров и пользователей ссылаются на один и тот же объект Назначение каталога, изменения придется вносить только в этот объект.

Присваивая объекту Назначение каталога путь к каталогу, где хранятся нужные файлы или приложения, следует также предоставить каждому объекту Пользователь права Чтение и Просмотр файла на содержащиеся в данном каталоге приложения и файлы. Это можно сделать, предоставив права Чтение и Просмотр файла объекту Назначение каталога, а затем сделав каждого пользователя эквивалентным этому объекту по правам. Вы также можете присвоить права на файлы всем объектам Подразделение. Объекты Пользователь автоматически становятся эквивалентны по правам объектам Подразделение, куда они входят.

Глобальные объекты Группа

Объект Группа может содержать пользователей из любых контейнеров дерева Каталога. Этот объект можно размещать в любом контейнере и предоставлять ему любые права. Это позволяет создать глобальный объект Группа для управления глобальным доступом к дереву Каталога для определенного набора пользователей.

Например, можно создать группу менеджеров или группу публикации, которой необходим одинаковый уровень доступа к сетевым ресурсам, и включить в объект Группа всех нужных пользователей. Такой тип объектов Группа дает возможность управлять доступом к какому-либо отдельному ресурсу или содержащему ресурсы контейнеру из единого пункта.

Объекты Группа дают возможность предоставлять специальные права некоторым из входящих в объект Подразделение пользователей. Это позволяет управлять гораздо меньшими группами пользователей, чем объекты Подразделение.

Назад | Содержание | Вперед


Comments: info@citmgu.ru
Copyright © CIT