Галкин В.А., Григорьев Ю.А. Телекоммуникации и сети
Подождите немного. Документ загружается.
8.
Архитектура сетевых
ОС NetWare
Таблица
8.19.
Список возможньп прав по отпошепию
к
свойству объекта
1 Право
Supervisor
Compare
Read
Write
Add Self
1
Обозначение
S
С
R
W
A
1 Описание
Гарантирует все привилегии по отношению к свой-
ству объекта. Это право может быть блокировано
фильтром наследуемых прав IRF, который может быть
назначен для свойства. Фильтры IRF назначаются для
объекта и его свойства отдельно
Позволяет при поиске объекта (например, с помо-
щью утилиты NLIST) сравнивать значение свойства с
любой константой. Однако это право не обеспечивает
чтение значения свойства. После операции сравнения
возвращается результат: True или False
Позволяет читать значение свойства из БД NDS.
Право Read включает право Compare
Позволяет добавлять, изменять или удалять зна-
чение свойства. Право Write включает право Add Self
Позволяет опекуну (User) добавлять или удалять
самого себя как значение свойства. Это право имеет
смысл только для свойств, которые содержат имена
пользователей в качестве значений, например, для
свойства Members (участники) объекта Group (груп-
па).
1
Права по отношению к свойствам могут быть назначены сразу для всех
свойств объекта (АН Properties) или для выбранного свойства (Selected
Properties). Во втором случае права для выбранного свойства замещают пра-
ва,
назначенные через опцию АН Properties. Следует также отметить, что пра-
ва для выбранного свойства (Selected Properties) не наследуются, а права для
всех свойств объекта (АН Properties) наследуются.
Права и фильтры наследуемых прав назначаются администратором с по-
мопц>ю утилит NetWare 4.х/5.х (NetWare Administrator). Но назначение прав
объектов по отноше1шю ко всем требуемым объектам и свойствам - это уто-
мительная задача. Предлагаемый в NetWare 4.х/5.х механизм наследования
прав в дереве NDS напоминает механизм наследования прав в файловой сис-
теме.
Определения опекуна (Trustees), фильтра наследуемых прав (IRF), наследу-
емых прав, эффективных прав совпадают с соответствующими определения-
ми для
файловой системы.
Только
понятия
файл,
каталог, пользователь (группа
пользователей) следует заменить соответственно на оконечный объект, кон-
тейнерный объект, произвольный объект. Ниже приведены эти определения.
520
8,6.
Механизмы
защиты информации
1 Наследуемые права
]
Объект А
I (включая права группы 1)
IRF
i
Файл или катал
и, может быть,
группа 2
являются
опекунами
объекта Б
(или его
свойств)
Эффективные \
1
рг 1
Г^
Только группа 2
является
опекуном
^
^Нет
опекунов
'
Эффективные
права = опекунские ' , , права =
назначения >:^ффективные наследуемые
(объекта А "Р»»» = опекунские права & IRF
и группы 2)+ назначения
наследуемые права >Г_РУ?1™_ ^.Т.
1
1
'олько от группы 1
felRF
наследуемые права
только & IRF
Рис.
8.53.
Схема определения
ОС
NetWare эффективных прав
объекта А к объекту Б (или его
свойствам):
+ и &
-
логические операции ИЛИ и И
Опекун
(Trustees) -
объект,
которому администратор с помощью утилиты (на-
пример NetWare Administrator)
явно
назначает
права к
какому-либо объекту (или
его свойствам). Такие права называются опекунскими назначениями.
Фильтр
наследуемых прав (IRF - Inherited Right Filter) - характеристика
объекта (или его свойств), определяющая, какие
права
данный объект (или его
свойства) может унаследовать от родительского контейнерного объекта. Фильтр
назначается администратором с помощью утилиты (например NetWare Admi-
nistrator).
Наследуемые права - права, передаваемые (распространяемые) от роди-
тельского контейнерного объекта.
Эффективные права - права, которыми пользователь реально обладает
по отношению к другому или тому же самому объекту (или его свойствам).
На рис. 8.53 показана схема формирования ОС NetWare эффективных прав
объекта А по отношению к какому-либо объекту
Б
(или его свойствам). Здесь
предполагается,
что объект
А является участником групп
1 и
2.
Ясно,
что
группы
следует учитывать только в том случае, если объект А - это объект типа User
(пользователь).
Если объект А является пользователем, то к его эффективным правам до-
бавляются эффективные права тех объектов, которые указаны в свойстве
Security Equal То этого пользователя.
Рассмотрим пример, иллюстрирующий эту схему. Предположим, что адми-
нистратор сети Admin создал дерево NDS, представленное на рис. 8.54.
521
8.
Архитектура сетевых
ОС NetWare
I
[Root]
0 = MSTU
1 I
OU
= CLASS
' 1 I
ON =
User
CN =
Admin
Рис. 8.54. Дерево NDS, которое создает администратор Admin
В табл. 8.20 приведены изменения эффективных прав для пользователей
Admin и User по отношению к указанным в таблице объектам (предполагает-
ся,
что эти пользователи имеют пустые списки Security Equal То).
Таблица 8.20. Примеры изменения эффективных
прав
пользователей
Admin
и User по
отношению
к объе1Сгам
Право
Наследуемые права
IRF
Опекунские назначения
Эффективные права
Наследуемые права
IRF
Опекунские назначения
Эффективные права
Наследуемые права
IRF
Опекунские назначения
Эффективные права
Наследуемые права
IRF
Опекунские назначения
Эффективные права
Пользователь
Admin
Контейнер [Root]
-
SBCDR
SBCDR
SBCDR
Контейнер
MSTU
SBCDR
SBCDR
-
SBCDR
Контейнер CLASS
SBCDR
-
-
-
Оконечный
объект User
-
SBCDR
-
-
1 User
-
SBCDR
-
-
-
SBCDR
-
-
-
-
SBCDR
SBCDR
SBCDR
SBCDR
-
SBCDR 1
Этот пример иллюстрирует, как администратор Admin может потерять уп-
равление контейнерньп^ объектом OU = CLASS. Это может произойти в том
случае, если Admin назначает пользователя User опекуном объекта 0U = CLASS
с правами [SBCDR]. Пользователь User может сбросить все признаки в филь-
тре наследуемых прав IRF объекта 0U = CLASS. Так как право [S] и все
522
8.6.
Механизмы
защиты информации
остальные права маскируются, то в этом случае Admin не только потеряет
управление объектом OU = CLASS, но он даже не сможет увидеть объект в
дереве NDS.
Отметим, что после инсталляции файлового сервера:
• пользователь Admin автоматически получает права [SBCDR] по отноше-
нию к объекту [Root];
• фиктивный опекун [Public] автоматически получает право
[В]
по отноше-
нию к объекту
[Root];
это означает, что любой пользователь, который подклю-
чается к сети, еще до Login видит все объекты дерева NDS (право [В] насле-
дуется от [Root] ко всем объектам).
Санкционирование доступа к консоли файлового сервера
Доступ к консоли файлового сервера можно осуществить посредством ос-
новной
или
удаленной консоли
(т.
е.
с
PC).
Администратор может защитить основную консоль, используя пункт меню
«Lock File Server Console» утилиты MONITOR.NLM (в NetWare 5.x для этой
цели
используется утилита сервера SCRSAVER.NLM). После
ввода
произволь-
ного пароля доступ к консоли (с основной и удаленной) будет заблокирован и
администратор может оставить консоль без присмотра. Чтобы разблокиро-
вать
консоль,
администратор
должен
ввести
либо ранее
указанный
пароль,
либо
пароль
Admin.
Для удаленной консоли необходимо с основной консоли ввести следующие
команды:
LOAD REMOTE <пароль>
LOAD RSPX
Эти команды
можно поместить в
конфигуращюнный файл AUTOEXEC.NCF.
Затем на PC, где необходимо создать удаленную консоль, следует запустить
утилиту
SYS:
SYSTEM\RCONSOLE.EXE
и в
диалоге ввести
<пароль>,
указан-
ный
при
запуске утилиты REMOTE.
Недостаток
такой схемы
организащш удаленной консоли заключается
в
том,
что параметр <пароль> при загрузке NLM-модуля REMOTE указывается от-
крытым текстом. Чтобы скрыть параметр <пароль>, с основной консоли
NetWare
4.х/5.х
необходимо ввести следующие команды
LOAD REMOVE X
REMOTE ENCRYPT
Далее ОС NetWare
4.х/5.х
предлагает ввести пароль для удаленной консо-
ли.
Он вводится скрытым текстом. В результате ОС формирует <код>, кото-
рый отображается на консоли файлового сервера.
После этого можно использовать следующие команды:
LOAD lUEMOVE -Е <код>
523
8.
Архитектура
сетевых ОС
NetWare
(вместо приведенной вьппе команды можно просто ввести LDREMOTE.NCF)
LOAD RSPX
На PC указьгоается
пароль,
который администратор ввел с основной консо-
ли скрытым текстом.
%Л.
Диалоговые интерфейсы
Текстовый и графический интерфейсы ОС
В ОС NetWare используются утилиты следующих типов:
• утилиты командной строки
(FLAG,
RIGHTS,
NDIR и
т.
д.);
• утилиты-меню (FILER, PCONSOLE и
т.
д.);
• утилиты, вьшолняемые
под
управлением
)\^ndows
(NetWare Administrator
и др.).
Для выполнения утилиты командной строки необходимо ввести имя про-
граммы и параметры. Результаты вьшолнения команды отображаются на эк-
ране PC. Как таковой диалог здесь отсутствует.
При работе с утилитой-меню используется текстовый диалоговый интер-
фейс.
Чтобы
модифицировать какое-либо
поле диалогового
окна утилиты-меню,
необходимо подсветить это поле и нажать клавишу Enter. Для изменения зна-
чения
поля на
альтернативное используют клавиши «Стрелка
влево» и
«Стрел-
ка вправо». Если это поле ввода, то появляется курсор и можно отредактиро-
вать значение поля. После повторного нажатия клавиши Enter (или клавишей
«Стрелка вверх», «Стрелка вниз») подсвечивается следующее поле диалого-
вого окна. Если поле связано со списком, то на экране появляется этот список.
Используя клавиши Del и
Ins,
можно отредактировать этот список значений.
При
работе
с
утилитами, которые вьшолняются
под
управлением A^^ndows,
используется графический интерфейс, предоставляемый этой оболочкой.
Диалоговый интерфейс пользователя
Иногда требуется, чтобы после загрузки ОС PC неподготовленный пользо-
ватель мог бы сразу работать со своими приложениями. Для этого в NetWare
предлагаются средства разработки диалогового интерфейса
пользователя.
Эти
средства включают (для NetWare 3.12, 4.x):
• язьпс описания различных окон меню и их пунктов в текстовых файлах
*.SRC;
• утилиту MENUMAKE, транслирующую файл *.SRC в файл *.DAT;
• файл NMENU.BAT для запуска файла *.DAT с описаниями меню пользо-
вателя.
На рис. 8.55 представлена структура файла *.SRC. Здесь показана допус-
тимая иерархия операторов, которые можно использовать в файле *.SRC
(табл.
8.21).
524
8.7.
Диалоговые интерфейсы
ITEM
MENU
I
ФАЙЛ •.SCR
ITEM
I
MENU
I
[
EXEC GETO (GETR, GETP)
EXEC
LOAD SHOW
Рис.
8.55.
Структура файла *.SCR с описаниями меню
Таблица
8.21.
Операторы,
используемые
в
файле
""".SRC
1 Оператор
1 MENU номер__меню,
заголовок_меню
ITEM заголовок_пункта
{опции}
EXEC имя_программы
SHOW имя__меню
LOAD имя_файла
GETO параметры
GETR параметры
GETP параметры
1 Описание Л
Определяет номер и заголовок меню
Определяет заголовок пункта меню
Определяет имя программы, которая выполняется
при выборе пункта меню
Определяет подменю, которое отображается при
выборе пункта меню. Это подменю должно быть опи-
сано в том же файле *.SRC
Определяет подменю, которое отображается при
выборе пункта меню. Это подменю должно быть опи-
сано в другом файле *.DAT
Определяют характеристики специального окна,
отображаемого на экране для задания параметров
программы, которая описывается в следующем опера-
торе EXEC. Операторы GETO, GETR, GETP отлича-
ются способами ввода параметров в специальном
окне и их описанием в операторе EXEC (для GET?)
На
рис.
8.56 показан
пример
последовательности операторов
в
файле *.SRC.
Чтобы предотвратить выход в DOS, команду NMENU, которая запускает
диалоговый интерфейс пользователя,
часто
помещают
в файл
AUTOEXEC.BAT
и используют
в
цикле.
В NetWare 5.x предлагается интехрированный
набор
технологий Z.E.N.works
Starter Pack, которые обеспечивают следующие возможности
• позволяют управлять PC и рабочими столами пользователей сети;
• предоставляют пользователям сети надежную
и
простую
в
использовании
сетевую систему, которая поддерживает целостность приложений.
525
8.
Архитектура сетевых
ОС NetWare
MENU Определить 1-е меню
ГГЕМ Определить 1-й пункт меню
SHOW Определить 1-й пункт меню как
подменю, определенное в том же
файле •.SCR
MENU Определить 2-е меню
ITEM Определить 1-й пункт меню
LOAD Определить 1-й пункт меню как
подменю, определенное
в
другом
файле
•.6АГ
ITEM Определить 2-й пункт меню
EXEC Определить программу, которая
будет выполняться при выборе
этого пункта меню
ITEM Определить 3-й пункт меню
GETO Описать имя поля для задания 1-го
параметра программы,
от)еделенной ниже в операторе
GETO Описать имя поля для задания 2-го
параметра программы,
отеделенной ниже в операторе
EXEC Определить программу, которая
будет выполняться при выборе
этого пункта меню
Рис. 8.56. Пример последовательности операторов в файле *.SRC
Интернационализация диалоговых интерфейсов
ОС NetWare можно настроить так, чтобы сообщения системы отобража-
лись на требуемом национальном языке. Можно изменить язык сообщений,
отображаемых:
• операционной
системой
на консоли файлового сервера;
• NLM-модулями на консоли файлового сервера;
• утилитами NetWare на экране PC;
• модулями программного обеспечения клиента на экране PC.
Для
изменения
языка,
используемого для вьюода сообщений
ОС на
консоль
файлового сервера, необходимо подготовить соответствующий модуль SER-
VER.MSG и поместить его в каталог, откуда загружается головная программа
ОС NetWare SERVER.EXE.
Для вывода сообщений NLM-модулей на требуемом язьпсе необходимо с
консоли файлового сервера ввести команду
LANGUAGE пшпЬег
где пшпЬег определяет национальный язык сообщений. В частности число 4
соответствует английскому языку, а
13
- русскому.
На рис. 8.57 представлена структура каталогов, где должны храниться со-
общения NLM-модулей.
При
инсталляции файлового сервера обычно устанав-
ливается только каталог с именем 4, где хранятся модули *.MSG описания
сообщений на английском языке для соответствующих NLM-модулей.
526
8.7. Диалоговые интерфейсы
Sn
SYS 1 In
1 Г
SYSTEM
1
1 h
NLS -€
4_
ZZD—1
4
\—1
13
4_
4_
-cz
1 monitor.msg
1 install.msg
j monitor.msg
I install.msg
Рис.
8.57. Структура
каталогов,
где
хранятся сообщения NLM-модулей
Для вывода сообщений утилит NetWare и модулей программного обеспече-
ния клиента на требуемом язьпсе используется переменная NWLANGUAGE
среды DOS, которая устанавливается, как правило, в файле C:\NWCLIENT\
STARTNET.BAT, создаваемом при инсталлящш рабочей сташщи:
SET NWLANGUAGE=language
где language - один из следующих язьпсов: English, Duetsh, Espanol, Francais,
Italiano.
=h
SYS 1 I
1 r^
PUBLIC
1
1 hi
NLS
kzzbn
ENGLISH
-i f—1
DUETCH
1
1
4_
-\_
H—
1 filer.msg
1 flag.msg
1 filer.msg
1 flag.msg
PHC.
8.58.
Структура
каталогов,
где хранятся
сообщения утилит NetWare
527
8.
Архитектура сетевых
ОС NetWare
NWCLIENT
NLS
Ъ
J 1
1 1
FNGT TSH
J 1
т
1
DUETCH
-l_
H—
1 Isl.msg
1 vlm.msg
1 Isl.msg
1 vlm.msg
Рис.
8.59.
Структура
каталогов,
где хранятся сообщения модулей
программного обеспечения клиента станции
На рис. 8.58 представлена структура
каталогов,
где должны храниться сооб-
щения утилит NetWare. При инсталляции файлового сервера обычно устанав-
ливается только каталог с именем ENGLISH.
На рис.8.59 изображена структура каталогов и файлов с сообщениями мо-
дулей программного обеспечения клиента PC.
При инсталляции
PC
обычно устанавливается каталог с именем ENGLISH.
Форматы
даты,
времени и числа, используемых на
PC,
описываются
в
фай-
ле C:\NWCLIENT\LCONFIG.SYS. Примеры форматов для USA, используе-
мых по умолчанию, представлены в табл. 8.22.
Таблица
8.22.
Примеры
форматов
для USA
Страна
USA
Дата
09/22/02
Время
8:37:00
РМ
Число
12,345.67
Следует отметить, что в NetWare 4.11 имеется серьезная ошибка, свя-
занная с поддержкой русского языка. При задании на сервере кода страны 7
и кодовой страницы 866 некоторые программы (MHS, FTR Services и др.)
работают некорректно. В NetWare 5 осталась проблема поддержки русско-
го языка на сервере.
528
9. АДМИНИСТРИРОВАНИЕ И ОПЕРАТИВНОЕ
УПРАВЛЕНИЕ В ОС NETWARE
Рассмотрены вопросы
администрирования операционной
и
информационной
среды.
Описана пользовательская операционная среда рабочей станции и файлового сервера.
Приведены практические рекомендации
по
установке и настройке сетевой ОС
NetWare
3.x,
4.Х/5.Х.
Изложены
основные принципы
управления
сетевыми ресурсами.
Приведен
обзор
команд
оперативного
управления и
показано,
как
осуществляется наблюдение и контроль
состояния
системы.
В
заключении
главы
излож'ены
основы разработки
приложений
для
NetWare. Приведены структура и правила
написания
NLM-модулей и организация API-
интерфейса
для
разработки программ на языке С.
9.1.
Администрирование операционной среды
Пользовательская операционная среда рабочей станции
В NetWare в качестве ПО клиента PC используется так назьшаемый 16-
разрядный клиент (NetWare 3.x, NetWare 4.x) и 32-разрядный клиент (NetWare
4.x, NetWare 5.x). Рассмотрим особенности установки и организации 16-раз-
рядного клиента (Client
16).
Начальная установка ПО 16-разрядного клиента PC выполняется с дискет.
Для DOS обьршо используют следующие дискеты: NetWare 3.x - WSDOSl,
WSDOS_2, WSDRV_2, NetWare 4.x - WSDOS_l, WSWIN_1, WSDRV__1,
WSDRV^2.
Так как NetWare 4.x поставляется на CD-ROM, то дискеты можно создать
в DOS, используя утилиту
D:\CLffiNT\DOSWIN\MAKEDISK <диск>:
где D - драйв CD-ROM, <диск> - драйв гибкого диска 3,5".
Для инсталляции PC необходимо с дискеты WSDOSl запустить програм-
му INSTALL.EXE и далее следовать инструкциям этой утилиты.
529