Курс лекций Составитель Соркина В. Е. Введение 12

Вид материалаКурс лекций

Содержание


Прозрачное управление списком контроля за доступом
Преимущество NDS
Динамическое наследование прав
Преимущество NDS
Подобный материал:
1   ...   59   60   61   62   63   64   65   66   ...   71

Прозрачное управление списком контроля за доступом

Списки контроля за доступом (Access Control Lists - ACL) - это инструменты, используемые службой каталога для отслеживания прав доступа каждого сетевого объекта, представленного в каталоге. Правильное управление списками крайне важно, так как обеспечивает надлежащее функционирование каталога и упрощает управление.
В качестве примера функционирования ACL можно привести следующую ситуацию. Скажем, пользователь получил право на использование определенного сервера. В результате в списке доступа к серверу создается объект, который регистрирует тип права доступа, предоставленного пользователю. Когда данный пользователь в очередной раз захочет получить доступ к тому же серверу, каталог проверит соответствующий объект Сервер, чтобы установить наличие имени пользователя в списке доступа. Если оно там есть, доступ разрешается.
Служба каталога должна обеспечивать полное управление своими внутренними механизмами, используемыми для отслеживания прав доступа. Управление списками должно быть абсолютно прозрачным для администраторов и не предполагать каких-либо дополнительных усилий по сопровождению.

Преимущество NDS

NDS автоматизирует основные ACL-процессы, поддерживая внутренние «обратные ссылки», указывающие на сетевые ресурсы, к которым пользователь получает доступ. При удалении администратором объекта «пользователь», NDS прослеживает обратные ссылки на ресурсы, к которым пользователь имел доступ, и автоматически удаляет все ссылки в отношении удаленного пользователя.
В отличие от NDS, Active Directory не поддерживает обратные ссылки и поэтому при удалении пользователя список контроля за доступом (ACL) для каждого ресурса, с которым работал пользователь, необходимо обновлять. Чтобы представить важность этой проблемы, давайте предположим, что пользователь получил доступ к 20 ресурсам. Таким образом, после удаления пользователя из AD, неоправданная ссылка на этого пользователя будет появляться каждый раз при обращении к каждому из 20 ресурсов до тех пор, пока администратор вручную не внесет изменения в список контроля за доступом к каждому ресурсу или пока не будет приведена в действие автоматическая функция «очистки» AD для удаления списков. В крупной сети серьезность этой проблемы и соответствующие административные расходы могут быть весьма значительными.
Отсутствие в AD «обратных ссылок» также не позволяет администраторам быстро установить те сетевые ресурсы, к которым пользователь получил доступ, что осложняет и, соответственно, удорожает соответствующие действия администратора.

Динамическое наследование прав

Каталоги реализуют функцию наследования прав, которая упрощает управление правами. Благодаря этой функции дочерний объект автоматически получает права доступа, определенные для родительского объекта. Если меняются права доступа для родительского объекта, аналогичные изменения применятся ко всем расположенным ниже дочерним объектам дерева каталога. Группировка ресурсов по объектам «подразделение» позволяет реализовать управление ресурсами с использованием функции наследования прав в централизованном порядке, что значительно экономит время. Управление на основе наследования прав также обеспечивает беспрецедентное масштабирование в управлении.

Преимущество NDS

В NDS полные права доступа для такого сетевого объекта, как Пользователь, динамически определяются с учетом предоставленных явных прав доступа, эквивалентностей защиты и унаследованных прав. Когда сетевой объект пытается получить доступ к ресурсу, права доступа динамически вычисляются для определения возможностей предоставления такого доступа. Поскольку вычисление прав происходит в динамическом режиме, изменения, вносимые в права доступа для родительского объекта, сразу переходят на все дочерние объекты.
В AD, напротив, полные права сетевого объекта сохраняются в статическом режиме в списке контроля за доступом (ACL) взаимосвязанного с ним объекта. И хотя режим наследования прав обеспечивает положение, при котором все изменения в правах для родительского объекта затем распространяются на все дочерние объекты, здесь используется метод вычисления прав доступа, который сильно отличается от того, что применяется в NDS. Чтобы отразить произошедшее изменение, AD необходимо обновить список ACL для каждого дочернего объекта. Этот процесс внесения изменений перегружает ЦП компьютеров и требует для исполнения значительного дискового пространства. Возникает некоторый разрыв во времени - когда были изменены права для родительского объекта и когда были обновлены списки доступа для дочерних объектов. Поэтому изменения в правах доступа для родительского объекта не влекут за собой немедленные изменения в отношении дочерних объектов.
Почему это так важно? Например, вам необходимо отозвать право доступа к определенному ресурсу у группы пользователей, представленных как объект OU- Organizational Unit. Используя NDS, администратор может лишить такого права всего лишь родительский объект OU и, в результате, все пользователи данного OU будут немедленно лишены права доступа к данному ресурсу. В случае с AD даже при удалении права доступа в родительском объекте пользователи в OU могут продолжать использовать ресурс до тех пор, пока не будут обновлены все соответствующие списки доступа. AD не гарантирует немедленного наследования прав - а в такой ситуации отдельные пользователи будут иметь доступ, который им запрещен.
Еще больше усложняет работу и то обстоятельство, что при регистрации пользователя в сети AD генерирует статическую метку доступа, которая отражает его текущее состояние в группах. Эта метка используется для проверки прав доступа в течение всего времени пребывания пользователя в сети. Поэтому все изменения в группах пользователя, производимые в этот период, не вступают в силу до тех пор, пока пользователь не выйдет из сети, а затем вновь не зарегистрируется в ней. И на этот раз AD не гарантирует немедленного внедрения изменений в правах доступа, что может привести к непредсказуемым последствиям.