Выбор оптимальных сетевых решений на базе многозадачных операционных систем для построения компьютерной сети вуза

   из   компонент,
разделенных  между   собой   наклонной   чертой   (/);   каждая   компонента
представляет  собой  набор  символов,  составляющих  имя  вершины   (файла),
которое  является   уникальным  для  каталога  (предыдущей  компоненты),   в
котором оно  содержится.  Полное  имя  пути  поиска  начинается  с  указания
наклонной черты и идентифицирует файл (вершину), поиск которого  ведется  от
корневой вершины  дерева  файловой  системы  с  обходом  тех  ветвей  дерева
файлов, которые соответствуют именам отдельных компонент.  Имя  пути  поиска
необязательно должно начинаться с корня, в  нем  следует  указывать  маршрут
относительно  текущего  для  выполняемого  процесса   каталога,   при   этом
предыдущие символы "наклонная черта" в имени пути опускаются.


Программы, выполняемые под управлением системы  UNIX,  не  содержат  никакой
информации относительно внутреннего формата, в  котором  ядро  хранит  файлы
данных, данные в программах представляются как  бесформатный  поток  байтов.
Программы могут интерпретировать поток байтов по своему  желанию,  при  этом
любая   интерпретация   никак  не  будет  связана  с  фактическим   способом
хранения  данных  в  операционной  системе.  Так,  синтаксические   правила,
определяющие задание  метода  доступа  к  данным  в  файле,  устанавливаются
системой и являются едиными  для  всех  программ,  однако  семантика  данных
определяется  конкретной  программой.  Например,  программа   форматирования
текста troff ищет в конце каждой строки текста  символы  перехода  на  новую
строку, а программа учета системных ресурсов  acctcom  работает  с  записями
фиксированной длины. Обе программы пользуются одними и  теми  же  системными
средствами для осуществления доступа к данным в файле как к  потоку  байтов,
и внутри себя преобразуют  этот  поток  по  соответствующему  формату.  Если
любая из программ  обнаружит,  что  формат  данных  неверен,  она  принимает
соответствующие меры.


Каталоги похожи на обычные файлы в  одном  отношении;  система  представляет
информацию в каталоге набором байтов, но  эта  информация  включает  в  себя
имена файлов в каталоге в объявленном формате для того,  чтобы  операционная
система и программы, такие  как  ls  (выводит  список   имен   и   атрибутов
файлов), могли их обнаружить.


Права доступа к файлу регулируются установкой специальных  битов  разрешения
доступа, связанных с файлом. Устанавливая  биты  разрешения  доступа,  можно
независимо управлять выдачей разрешений на чтение, запись и  выполнение  для
трех категорий пользователей: владельца  файла,  группового  пользователя  и
прочих.  Пользователи  могут  создавать  файлы,  если  разрешен   доступ   к
каталогу. Вновь созданные файлы становятся листьями в древовидной  структуре
файловой системы.


Для пользователя система UNIX трактует устройства так, как если бы они  были
файлами. Устройства, для  которых  назначены  специальные  файлы  устройств,
становятся вершинами в структуре  файловой  системы.  Обращение  программ  к
устройствам имеет тот же самый синтаксис, что и обращение к обычным  файлам;
семантика операций чтения и записи по  отношению  к  устройствам  в  большой
степени совпадает с семантикой операций  чтения  и  записи  обычных  файлов.
Способ защиты устройств совпадает со способом защиты обычных  файлов:  путем
соответствующей  установки  битов  разрешения  доступа   к   ним   (файлам).
Поскольку имена устройств выглядят так же, как и  имена  обычных  файлов,  и
поскольку над устройствами и над обычными файлами выполняются одни и  те  же
операции, большинству программ нет необходимости различать внутри себя  типы
обрабатываемых файлов.



4.3 Защита данных в ОС UNIX


Сетевая защита в UNIX основывается  на  сложной  схеме  именования,  которая
начинается  с  имен  пользователей.  Пользователям  присваиваются  имена   и
пароли, которые нужны для  регистрации пользователей в системе,


 Сетевые ресурсы известны и поддерживаются как службы. Им  даются  имена,  с
помощью которых пользователи могут  обратиться  к  ним.  Службы  включают  в
себя:  фазовую  службу   (каталоги,  подкаталоги,  данные  и   программы   в
каталогах),  коммуникационные   службы   (программы   эмуляции   SNA   3270,
асинхронные коммуникационные службы) и службы  печати. Все  службы  получают
имена через службу именования в UNIX, именуемую StreetTalk.


Каждое имя состоит из 3-х частей:  имени  ресурса  или  пользователя,  имени
труппы   пользователей  и  имени  организации.  Например,  пусть  существует
сервер с именем организации ACME; есть две  группы  пользователей  MARKETING
(маркетинг)  и   ACCOUNTING  (бюджет),  существует  также  несколько  служб,
связанных  с  каждой  группой,  например,  WP  (word  processing)  обработка
текста)  DBASE  (database)  база  данных,   АССТ  (accounting)  бюджет.  При
использовании  каждая  часть  имени   отделяется   от   другой   знаком   @.
Пользователь FRED из группы MARKETING должен зарегистрироваться для   работы
в сети с помощью команд:


 A>LOGONFRED@MARKETING@ACME.


 Если этот пользователь хочет запросить службу,  связанную  с  базой  данных
маркетинга организации (ПО СУБД и файлы базы данных),  он  должен  выполнить
команду:


A>SETDRIVE G DBASE@MARKETING@ACME


Эта команда назначит логическое устройство G: на каталог и подкаталоги с  ПО
СУБД и  файлами базы данных, Длинным именам StreetTalk могут быть  назначены
короткие синонимы (Nicknames).


StreetTalk - это база данных списков. Она,  в  частности,  включает  в  себя
список  сетевых   ресурсов.   Другие   списки   SteetTalk   -   это   списки
пользователей, групп пользователей и прав пользователей.


Можно сказать, что ключевым фактором, обусловливающим эффективность  системы
 UNIX, является ее служба  распределения  имен  StreetTalk,  которая  делает
сеть аппаратно независимой.  Служба  StreetTalk  осуществляет  распределение
единой базы данных  пользователей, групп и ресурсов  между  всеми  серверами
ЛВС, так что вам никогда не придется вводить какое-либо  изменение  в  права
доступа сети более чем один раз.


Если  у  вас  имеются  соответствующие  права  доступа,  служба   StreetTalk
предоставит вам  возможность использовать любой ресурс  сети  независимо  от
того, в каком месте он находится. Например, когда какая-либо рабочая  группа
переезжает в новый город, вы  можете перенести  коллективно  используемые  и
персональные данные членов  этой  группы  просто  путем  загрузки  резервной
магнитной ленты в сервер в этом  новом  городе.  Группа   сможет  продолжить
свою деятельность прямо с того  места,  на  котором  работа  была  прервана,
причем сможет использовать  те  же  самые  процедуры  вхождения  в  систему,
персональные каталоги, прикладные программы и адреса электронной  почты.  (В
случае других сетевых ОС вам пришлось бы создавать новые сценарии  вхождения
в систему,  задавать новые адреса  и  переустанавливать  права  доступа  для
каждого пользователя.)


 В состав системы UNIX входит подсистема повышения  эффективности  работы  с
каталогами Directory Assistance, обеспечивающая ведение в каждой  ЛВС  копии
полного   каталога  StreetTalk  для  всей  глобальной  вычислительной  сети.
Благодаря наличию такой локальной копии вы получаете возможность  направлять
электронную почту удаленному  пользователю даже в случае,  если  обе  ЛВС  в
настоящий момент не имеют связи.


 В UNIX администратор сети управляет  правами  доступа  пользователей  через
ARL-список (Access Rights  List),  который  связан  с  каждой  службой.  ARL
определяет 6 операций,  которые могут быть предоставлены:


1. управление правами доступа к каталогу;


2.  управление  правами  доступа  к  подкаталогам;  возможность  создания  и
  удаления файлов в каталоге и подкаталогах;


3. возможность модификации файлов в каталоге и его подкаталогах;


4. возможность чтения файлов в каталоге и подкаталогах;


5. возможность удаления каталогов.


Каждому имени пользователя в ARL присваивается одно из  следующих  4-х  прав
доступа:  право  управления  (control  access),  которое  дает  пользователю
возможность  выполнения  всех  6-ти  операций;  право  модификации   (modify
access), которое позволяет выполнять   операции  2,3,4  и  5;  право  чтения
(read  access),  которое  позволяет  выполнять  операцию  чтения  фактов   в
каталоге и подкаталогах; нулевое  право  (null  access),  которое  запрещает
пользователю выполнять любую из шести операций.


 Права доступа для трупп и  имен  пользователей  не  объединяются,  как  это
имеет место в NetWare.  Пользователю  просто  даются  права,  относящиеся  к
первому  элементу  в  списке.   Если  первым  элементом  является   элемент,
описывающий права  группы,  то  пользователь  получает  права  труппы.  Если
первый  элемент  -  это  элемент,  описывающий   права    пользователя,   то
пользователь получает права пользователя. Вместе эти права не  объединяются.



Каждая служба принадлежит определенной группе и имеет связанный  со  службой
ARL.  (В   приведенном  выше  примере  служба   DBASE   принадлежит   группе
MARKETING). Если со службой нс связан ARL, то каждый пользователь  в  группе
автоматически получает право  модификации. Если ARL существует, то доступ  к
службе имеют только пользователи, указанные в ARL и только с  теми  правами,
какие там указаны. Разрешено применение  wildcard-символов в ARL.  Например,
элемент *@MARKETING@ACME дает каждому из группы MARKETING  одинаковые  права
доступа к службе.


ARL может содержать только 5 элементов. Поэтому даже в небольшой  сети  UNIX
ARL   представляет  собой  список   имен   пользовательских   списков.   Все
пользователи в каждой  группе  с  одинаковыми  правами  доступа  могут  быть
помещены в 1 список  и  имя  этого  списка  может  быть  добавлено  к   ARL.
Например,  StreetTalk  -  имя  MODLIST@MARKETING@ACME  может  ссылать

Пред. 21 22 23 24 25 След.

скачать работу

Отправка СМС бесплатно