Přístupová práva

Přístupová práva

Rozdělení 1

Základem práce síťového operačního systému je služba File server. Její součástí je ochrana složek a souborů před neoprávněným přístupem. Touto technologií je možné velmi přesně určit, co kdo může dělat v konkrétní složce, případně s určitým souborem. NetWare má přidělování práv důkladně propracováno, vlastní systém se skládá z několika částí:

Každé složce i jednotlivým souborům jsou přiděleny atributy. Ty je možné odebírat i přidávat a ještě více ovlivňovat vlastnosti složek a souborů. Těmito právy se budeme zabývat ještě jednou o kapitolu níže.

Druhy práv

Práva, jež máme k dispozici v NetWare, ukazuje tabulka. Všimněte si, že právo je možné přidělit jak složce, tak souboru. Pro obě varianty existují drobné odchylky ve významu práv.

V praxi se používají určité kombinace práv, povolující smysluplné činnosti (i když jiné kombinace jsou také možné).
Z tabulky vyplývá, že pohled uživatelů s různými přístupovými právy na server je odlišný. Každý z nich vidí různé složky (přesněji jen ty složky, k nimž má právo F). Nemá-li právo F k žádnému prostředku na logickém disku, nevidí dokonce ani tento disk.

Rozdělení 2

Trustee (pověřenci)

Práva se vztahují k uživatelům, ale je možné je zadat i skupinám (objektu Group), nebo kontejneru. Je tak možné si přidělování práv zjednodušit – právo přidělené skupině uživatelů se automaticky deleguje na všechny členy skupiny, právo kontejneru platí i pro všechny objekty v kontejneru. Objekt, jenž má přímo přidělená práva k určité složce, je pověřencem (Trustee) této složky (totéž platí i pro soubory).

Inherited rights filters – IRF (filtry děděných práv)

S pomocí trustee povolíme uživateli určité činnosti ve složce (či se souborem). Složky jsou seřazeny do stromové struktury, a pokud bychom používali pouze trustee, bylo by nutné stále dokola definovat pověřence k dalším složkám. Aby k tomu nedocházelo, je systém správy souborových práv doplněn o funkci dědění práv. Podřízené složky dědí vlastnosti svých rodičů. Dědění však není automatické, je možné je omezovat. Další příjemnou vlastností je dědění práv na obsah složky – soubory. Soubory ve složce mají díky dědění stejná práva jako složka (pokud nestanovíme jinak a konkrétnímu souboru nepřidělíme trustee). Princip dědění je založen na filtrech práv. Každá složka má svůj filtr práv sestávající ze všech práv – tedy [SRWCEMFA]. Pokud některé z práv z filtru vyjmeme, nebude se dále dědit – složka či soubor jej již od nadřízené složky nemůže obdržet.

Effective Rights (efektivní práva)

Práva ke složce (souboru) jsou definována dvěma způsoby (trustee a IRF). Jejich vzájemným působením obdržíme práva efektivní (skutečná), tedy ta, která uživatele opravdu omezují. Pokud o právech hovoříme, máme nejčastěji na mysli právě práva efektivní. Konstrukce efektivních práv se řídí pravidly podle obrázku.

Při konstrukci práv se setkáme s termínem logický součin, jehož pravidla vysvětlíme na příkladu. Má-li složka masku IRF složenou z dílčích práv [SRWCEFA] a zděděná trustee jsou [RMF], jsou efektivní práva výsledkem logického součinu. Vidíme, že efektivními zůstanou jen ta práva, která se vyskytnou současně v IRF a v Trustee.

Nejlépe práci se souborovými právy pochopíme na příkladu, který ukazuje další obrázek. V pravé části vidíme několik objektů databáze eDirectory, v levé strukturu složek na disku DATA serveru ORDAS. Je zde použito více způsobů přidělování práv:

Nyní si ukážeme, jak vzniknou efektivní (skutečná) práva obou uživatelů (objektů USER) Vasek a Jan. Začneme uživatelem Vasek. Uživatel Jan má většinu efektivních práv stejných jako Vasek (vždyť oba jsou členy stejné skupiny a stejného kontejneru). Jediná odlišnost je u složek (přesněji podsložek složky User): složka Vasek: zde má Jan Právo [RF], složka Jan: efektivní práva Jana jsou [SRWCEMFA].

Atributy složek a souborů

Kromě přístupových práv můžeme při zabezpečování souborů a složek využít také atributů, které přístupová práva doplňují o další možnosti. Ty se týkají spíše funkčnosti a vlastností složek. Většinu z nich ukazuje tabulka:

Atributy jsou silnější než efektivní práva, mají tedy před nimi přednost. (Má-li uživatel efektivní právo pro zápis do souboru, ale soubor má nastaven atribut Ro – uživatel sem nic nezapíše.) Atributy může měnit administrátor a také uživatel s efektivním právem [M].

Velmi intuitivní je práce s přístupovými právy přímo z klienta NetWare firmy Novell. Ve Windows se „proťukáme“ k disku serveru (Volumes), nebo konkrétní složce, klepneme na něj pravým tlačítkem myši a v menu zvolíme Trustee Rights. V horní části okna vidíme Trustee ke složce, ve střední všechny objekty eDirectory, z nichž můžeme vytvořit pověřence ke složce. Tlačítkem Remove odebíráme Trustee složky, stiskem Add přidáme Trustee vybraného uživatele. Filtr práv upravíme pomocí tlačítka Inherited Rights And Filters.