Средства защиты объектов в NDS

Служба NDS определяет права доступа одних сетевых объектов к другим. Разли­чаются права доступа к объекту в целом и права доступа к его атрибутам.

По отношению к объектам существует следующий набор прав:

□ Browse — просмотр;

□ Add — добавление;

□ Delete — удаление;

□ Rename — переименование;

□ Supervisor — обеспечивает все перечисленные выше права.

По отношению к атрибутам объектов используются такие права:

□ Compare — сравнение значения атрибута;

□ Read — чтение значения атрибута;

□ Write — запись нового значения атрибута;

□ Self — присвоение себя в качестве значения атрибута другого объекта, напри­мер, если объект-группа разрешает право Self для объекта User, то последний может сделать себя членом этой группы;

□ Supervi sor — все права по доступу к атрибутам.

С каждым объектом связан список управления доступом (ACL), в котором опре­деляются права доступа к данному объекту со стороны других объектов.

Права доступа наследуются в дереве объектов сверху вниз, поэтому права объек­та-контейнера наследуются входящими в него объектами. Для достижения необ­ходимой гибкости в наделении объекта правами используется маска наследо­вания (Inheritance Mask), с помощью которой можно заблокировать некоторые наследуемые права. С помощью механизма наследования прав доступа главный администратор дерева, имеющий доступ ко всем его объектам, может назначить администратора поддерева, который получит права доступа ко всем объектам данного поддерева. Если поддерево соответствует какой-либо структурной еди­нице предприятия (что и подразумевается), например отделу, то это будет адми­нистратор отдела, управляющий пользователями и ресурсами данного отдела.

После подробного рассмотрения свойств дерева каталогов NDS можно уточнить понятия раздела (partition) и реплики (replica).

Раздел представляет собой под­дерево общего дерева сети. Для определения раздела необходимо выбрать объ­ект-контейнер в общем дереве, который будет корневым объектом данного раз­дела. Создание раздела уменьшает объем хранимой на сервере информации базы данных NDS за счет исключения редко используемой информации и делает до­ступ к локальным объектам более быстрым, хотя объекты, находящиеся в других разделах, также доступны всем клиентам сети.

Реплика — это точная копия определенного раздела, хранящаяся на различных серверах. Наличие нескольких реплик обеспечивает отказоустойчивость службы NDS, а также ускоряет доступ к информации при перенесении реплики с под­ключенного через глобальную сеть сервера на локальный сервер.

Существуют три типа реплик: главная реплика (master replica), вторичная реп­лика (read/write replica) и реплика только для чтения (read-only replica).

Главная реплика позволяет проводить над ней такие операции, как создание но­вого раздела, слияние разделов и удаление раздела. Вторичная реплика разре­шает обновлять информацию об объектах, добавлять новые объекты, но не раз­решает создавать новые разделы. Реплика только для чтения позволяет только читать информацию из ее базы и проводить операции поиска. В сети может су­ществовать произвольное количество реплик. При изменении информации в ка­кой-либо реплике автоматически запускается процесс обновления всех осталь­ных реплик. Этот процесс называется процессом синхронизации службы чсаталогов.

Межсетевое взаимодействие

Только небольшое количество сетей обладает однородностью (гомогенностью) программного и аппаратного обеспечения. Однородными чаще всего являются сети, которые состоят из небольшого количества компонентов от одного произ­водителя.

Нормой сегодняшнего дня являются неоднородные (гетерогенные) сети, состоя­щие из разнотипных рабочих станций, операционных систем и приложений, в которых для реализации взаимодействия между компьютерами используются раз­личные концентраторы, коммутаторы и маршрутизаторы.

Одной из причин неоднородности служит эволюционный характер развития лю­бой большой сети. Сеть, как правило, не строится с нуля и не появляется в одно мгновение. Поскольку жизнь не стоит на месте, за время существования сети по­являются привлекательные технологические новшества, и создатели сети выну­ждены вносить в нее изменения, которые, возможно, потребуют решения задачи согласования новых технологий с уже имеющимися старыми.

Неоднородность — это также естественное следствие того, что люди, ответствен­ные за функционирования сети, стремятся выбрать программные и аппаратные средства, которые наилучшим образом отвечают поставленным целям. Часто ока­зывается, что средство, которое хорошо подходит для решения одной задачи, со­всем необязательно также хорошо работает при решении другой задачи. Поэто­му и появляются в сети коммуникационное оборудование разных технологий и разных производителей, сегменты Ethernet соседствуют с сегментами ATM, а сер­веры работают под управлением Windows 2000, Solaris или NetWare.

Отсюда следует важное требование, предъявляемое к современных сетевым ОС, — способность к интеграции с другими ОС.