Безопасность в одноранговых сетях

В одноранговых сетях нет центральной базы данных, в которой хранилась бы реги­страционная информация пользователей. Все средства обеспечения безопасности в этих сетях локальны. Учетные записи и пароли пользователей создаются и поддержи­ваются на каждом компьютере. Это довольно неудобно, к тому же менее безопасно, чем в централизованной модели безопасности, используемой в сетях клиент/сервер.

Допустим, рабочая группа состоит из четырех компьютеров с операционными сис­темами Windows NT Workstation, принадлежащих Мэри, Джо, Джону и Джейн. Чтобы Мэри получила доступ к файлам, хранящимся на компьютере Джо, он должен создать для нее учетную запись на своем компьютере. Если Мэри хочет получить доступ к разделяемому принтеру, установленному на компьютере Джейн, то Джейн должна создать учетную запись пользователя для Мэри и т.д.

Если Джо, Джейн и Джон присвоят этим учетным записям разные имена пользовате­лей и пароли, то Мэри вынуждена будет помнить, что для доступа к ресурсам Джо, на­пример, нужно использовать имя maryjohnson и пароль tree, для доступа к ресурсам Джейн — имя maryj и пароль Shelton, для доступа к ресурсам Джона — имя mjohnson и па­роль flute. Можете себе представить, как это выглядит, если в сети больше 10 компьютеров!

Безопасность на уровне ресурсов и на уровне пользователей

В рабочих группах Windows for Workgroups и Windows 95/98 средства безопасности реализованы не на уровне пользователей, а на уровне ресурсов. В табл. 2.2 приведены основные отличия между этими уровнями безопасности.

 

Вернемся к примеру небольшой рабочей группы. Если на компьютерах Мэри, Джо, Джейн и Джона установлена Windows 95, то им не нужно создавать учетные за­писи пользователей для каждого, кто будет получать доступ к их ресурсам. Все, что им нужно сделать, — это присвоить пароль каждому своему разделяемому ресурсу. Если Мэри хочет, чтобы к папке Documents имела доступ Джейн, но не Джон или кто-либо еще, то она должна присвоить этой папке пароль (например, health) и сообщить его только Джейн. При попытке обратиться к папке Documents система спросит пароль, который знает только Джейн.

Если Мэри хочет, чтобы к другой ее папке Pix имели доступ Джон и Джейн, но не Джо, то она должна присвоить этой папке другой пароль (например, crate) и сообщить его только Джону и Джейн.

Допустим, на диске Мэри расположены 20 совместно используемых папок. В этом случае ей придется помнить 20 разных паролей. Другим пользователям тоже придется помнить немалое количество паролей, причем нужно будет постоянно следить за со­ответствием паролей и папок. Если же количество компьютеров такой сети превысит 10, то работать в ней будет невозможно. Система безопасности на уровне ресурсов показана на рис. 2.7.

 

Поскольку при увеличении размеров сети такая ситуация быстро становится невы­носимой, большинство пользователей рабочих групп Windows прибегают к про­стейшему решению — вообще не присваивают ресурсам пароли. Естественно, для се­ти с дорогими или конфиденциальными данными, доступ к которым должен быть ог­раничен, такое решение неприемлемо. В этом случае следует использовать сеть клиент/сервер.

Сети клиент/сервер

Наиболее характерной особенностью сети клиент/сервер является централизованное управленце сетью. В такой сети как минимум на одном компьютере (называемом серве­ром) установлена сетевая операционная система, например Windows NT, Windows 2000 Server или NetWare. На сервере создаются учетные записи пользователей, и администра­тор сети может управлять ею из одного центра.

В сетях клиент/сервер решается также проблема снижения производительности, кото­рое происходит в компьютерах рабочей группы, когда другие пользователи загружают сис­темные ресурсы компьютера одного из пользователей. Производительность и пропускная способность сетей клиент/сервер в общем случае лучше, чем одноранговых.

Операционная система сервера часто предоставляет дополнительные услуги На­пример, сервер Windows NT/2000 может функционировать как сервер удаленного дос­тупа (коммутируемый доступ), к которому можно по телефонной линии подключить много пользователей Обратите внимание Windows 9х и Windows NT Workstation до­пускают только одно входящее соединение в один момент времени.