Теория Техническая база информационной технологии Компьютерные сети 6.5. Локальная вычислительная сеть NOVELL NETWARE |
6.5. ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ NOVELL NETWAREВАРИАНТЫ РЕАЛИЗАЦИИ ЛВС NOVELL Общие сведения Фирмой Novell была разработана операционная система NetWare. Она может использоваться в любой распространенной в настоящее время физической структуре локальной вычислительной сети: Token Ring, Ethernet или ARCnet. Поэтому сеть, поддерживаемая сетевой ОС NetWare, может иметь шинную, кольцевую и звездообразную топологии. Из-за большой популярности физической структуры сети Ethernet в дальнейшем рассматривается использование Novell Netware для этого типа топологии. Локальная вычислительная сеть фирмы Novell представляет собой сеть шинной топологии, для реализации которой используется аппаратура Ethernet. Основным типом передающей среды для ЛВС является коаксиальный кабель. Ethernet использует два типа коаксиальных кабелей - толстый и тонкий. Они аналогичны по своим электрическим параметрам, но отличаются друг от друга диаметром и допустимой длиной сетевого сегмента. "Чистый" Ethernet использует толстый коаксиальный кабель, и для подключения к нему серверов и рабочих станций необходимы специальные устройства - трансиверы (приемопередатчики). Основной вариант локальной вычислительной сети, используемый фирмой Novell, базируется на тонком кабеле. Отрезки тонкого кабеля через специальные разъемы (Т-коннекторы) соединяют сетевые платы, находящиеся в компьютерах локальной вычислительной сети. ЛВС состоит из файлового сервера и рабочих станций, включенных в сетевой сегмент. Примечание. Сетевой сегмент представляет собой отрезок коаксиального кабеля с подключенными к нему компьютерами. Он может быть отдельной локальной компьютерной сетью либо частью сети. Максимальная длина сетевого сегмента составляет 185 м, но с помощью повторителей можно соединить до пяти сегментов. В состав одного сегмента входит до 30 рабочих станций. В последнее время большую популярность получил вариант сети на базе витой пары проводов. Он предусматривает подключение рабочих станций к концентратору. Например, один концентратор в состоянии поддерживать работу 12 станций, расположенных на расстоянии до 120 м от него. Концентраторы можно соединять каскадами, и максимальное число сегментов в одной сети может составлять 1024. Таким образом, реализация локальной вычислительной сети фирмы Novell возможна на двух типах топологий: шинной и звездообразной. За рубежом предпочтение отдается витой паре из-за ее дешевизны. В России используется главным образом тонкий коаксиальный кабель. Структурные схемы ЛВС на тонком кабеле и витой паре соответственно приведены на рис. 6.27.
Рис. 6.27. Компьютерная сеть Novell NetWare: a - на тонком кабеле; б - на-витой паре Требования к файл-серверу В локальной сети с централизованным управлением большую роль играет выделенный сервер, который может выполнять разные функции: файл-сервера, сервера печати, сервера баз данных и т.д. Основным ресурсом ЛВС Novell является файловый сервер. На нем размещаются сетевая операционная система, базы данных и прикладные программы пользователей. Файл-сервер должен быть самым мощным компьютером в сети, так как от него зависят производительность и функциональные возможности сети в целом. Для реализации файл-сервера необходим персональный компьютер с объемом оперативной памяти не менее 8 Мбайт. Желательно, чтобы объем оперативной памяти составлял 16-32 Мбайта с учетом возможности расширения сети. Емкость винчестера файл-сервера - главного разделяемого ресурса поддерживаемой им сети должна составлять 500 - 800 Мбайт. Ввиду того, что надежность работы файл-сервера определяет надежность работы всей сети, необходимо принимать специальные меры для защиты информации на жестком диске от сбоев и потерь. Одной из таких мер является зеркальное отображение диска. К контроллеру жесткого диска файл-сервера подключаются два дисковода, и информация записывается на оба диска одновременно. При отказе одного из дисководов автоматически осуществляется переход на другой. Но этот способ все же не спасает при выходе из строя контроллера. Большую надежность обеспечивает способ дублирования дисков. В этом случае на файл-сервере устанавливаются два контроллера, каждый из которых обслуживает свой диск. Таким образом создаются два независимых канала записи на жесткий диск. Информация на обоих дисках дублируется. Поэтому при выходе из строя одного контроллера начинает работать другой. А вероятность отказа двух контроллеров одновременно очень мала. Используется также включение в состав одного сетевого сегмента двух файловых серверов. Кроме того, файл-серверы подключаются к электрической сети через источники бесперебойного питания. Необходимым ресурсом в локальной вычислительной сети является также и принтер, обеспечивающий выполнение функций сетевой печати. Для этой роли можно использовать отдельный компьютер, а можно совмещать функции печати с функциями файл-сервера. Требования к рабочим станциям Компьютер, выполняющий функции рабочей станции, должен обеспечить пользователю возможность решения всех его прикладных задач. Если рабочая станция ориентирована только на сетевой режим работы, то ей, в сущности, не нужны ни винчестер, ни гибкие диски. Появляется возможность использовать бездисковые рабочие станции. Операционная система на такой станции загружается дистанционно из файл-сервера под управлением постоянного запоминающего устройства, установленного в сетевой плате рабочей станции. Бездисковые рабочие станции значительно дешевле дисковых, работа на них исключает возможность занесения в сеть вируса. В то же время в ЛВС, построенной на базе бездисковых рабочих станций, резко возрастает нагрузка на файл-сервер и исключается возможность работы на станции в автономном режиме. Вполне естественно, что требования к рабочим станциям более скромные, чем к файл-серверу. Большую часть пользователей вполне удовлетворят объем оперативной памяти 8-16 Мбайт и винчестер емкостью до 650 Мбайт. Технические характеристики ЛВС определяются ее функциональным назначением, сложностью прикладных задач пользователей и экономическими возможностями предприятия, использующего локальную вычислительную сеть. ХАРАКТЕРИСТИКА СЕТЕВОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ NETWAREНазначение сетевой операционной системы NetWare Сетевую операционную систему NetWare можно рассматривать как распределенную операционную систему, модули которой располагаются на файл-сервере и на рабочих станциях. Программная структура ЛВС Novell включает в себя следующие компоненты: ядро сетевой операционной системы NetWare, сетевые утилиты, сетевую оболочку рабочих станций. Ядро сетевой операционной системы NetWare размещается на файл-сервере- Сетевые утилиты резиденты в памяти файл-сервера, но запускаются на рабочих станциях. Наконец, сетевая оболочка рабочих станций загружается и функционирует на рабочих станциях компьютерной сети как расширение основной ОС, установленной на рабочей станции. Сетевая операционная система NetWare представляет собой мультизадачную ОС реального времени. Она ориентирована на работу в локальной сети с централизованным управлением. В NetWare предусмотрена возможность работы в сети одного или нескольких файл-серверов. В процессе развития операционная система NetWare была реализована в нескольких версиях. Версии сетевой операционной системы NetWare Net Ware 2. x (Net Ware 286) предназначалась для работы на серверах с центральным процессором 80286. Под управлением этой версии серверы могли обслуживать до 100 рабочих станций; можно было создавать дисковые тома до 255 Мбайт и подключать к серверу до 32 дисков (под томом понимается физическая область на жестком диске файл-сервера). NetWare 2.х использовала для работы собственный протокол межсетевого обмена пакетами, что исключало возможность взаимодействия с другими сетями. Для внесения даже незначительных изменений в конфигурацию сети необходимо было останавливать сервер и запускать специальные программы. Последний вариант версии NetWare 2.2; в настоящее время не выпускается. NetWare З.х (NetWare 386) предназначалась для работы на серверах с центральными процессорами 80386, 80486 и Pentium. Серверы с этой версией операционной системы могут обслуживать до 250 рабочих станций. На одном сервере можно установить до 64 томов; в одном томе можно соединить до 32 дисков. Поэтому объем тома можно довести до 32 Гбайт. NetWare З.х рассчитана на работу с разнообразными коммуникационными протоколами, поэтому серверы, оснащенные ею, можно подключать к различным сетям. На рабочих станциях, поддерживаемых этой версией, можно использовать операционные системы Unix и Macintosh. Существенное расширение функциональных возможностей сетевой операционной системы было получено за счет введения в ее состав средств разработки и запуска загружаемых модулей NetWare (NLM). Эти средства позволяют создавать серверы баз данных и коммуникационные шлюзы. Вариант версии NetWare З.х - NetWare 3.11 является наиболее популярным сетевым продуктом фирмы Novell. Дальнейшим развитием ОС NetWare З.х стала версия NetWare 3.12. В ней существенно расширен набор сетевых драйверов, управляющих утилит, добавлены встроенные средства электронной почты и есть возможность работы с накопителями на компакт-дисках (CD-ROM). NetWare 4. x - последняя версия семейства ОС NetWare. Она построена на тех же принципах, что и предыдущая, и также предназначена для работы на серверах с центральным процессорами 80386, 80486 и Pentium. Вариант этой версии NetWare 4.1 включает все возможности предыдущей версии и значительно расширяет их. Сетевая операционная система NetWare 4.1 обеспечивает подключение до 1000 рабочих станций с операционными системами MS DOS, Windows, OS/2, Unix и Macintosh. Предусмотрена работа с несколькими серверами в одной сети. Но в отличие от предыдущих версий NetWare, которые требовали регистрации пользователя на каждом сервере, NetWare 4.1 обеспечивает доступ ко всем ресурсам после регистрации хотя бы на одном сервере. Принципиально новым средством является сетевая защита. На файл-сервере располагается ядро операционной системы, а остальные ее компоненты размещаются на рабочих станциях. Сетевые операции реализуются по технологии клиент-сервер. Это значит, что все разделяемые ресурсы управляются централизованно через файл-сервер. Ресурсы доступны рабочим станциям-клиентам только по запросу, транслированному через сеть на сервер. Ресурсы рабочих станций доступны только пользователям самих станций и в сети не разделяются. Иногда такое обслуживание называется выделенным режимом файл-сервера. Оно обеспечивает высокий уровень защиты данных в сети. Дальнейший материал излагается применительно к сетевой операционной системе NetWare 4.1. При этом предполагается, что на рабочих станциях локальной вычислительной сети установлена операционная система MS DOS. Структура NetWare на файл-сервере Ядро операционной системы NetWare на файл-сервере запускается программой SERVER.ЕХЕ. После прекращения работы сетевой операционной системы можно снова вернуться в MS DOS. Такая организация удобна для отладки и настройки NetWare. После загрузки ядра последовательно загружаются все другие необходимые компоненты программного обеспечения файл-сервера. Работа с аппаратурой осуществляется через драйверы. NetWare позволяет производить динамическую загрузку основных драйверов - драйверов дисковых устройств и сетевых адаптеров. Кроме драйверов необходимы и программы, выполняющие те или иные функции для обслуживания сервера и сети в целом. Так как NetWare - мультизадачная операционная система, то можно запускать несколько таких программ. Они будут работать параллельно. В процессе работы сети их можно загружать и снова удалять. Загружаемые модули Netware обеспечивают управление файлами, хранящимися на файл-сервере, управление базами данных, сетевыми принтерами и внешними каналами связи и другими ресурсами, находящимися на сервере. При установке операционной системы NetWare на файл-сервере его жесткий диск разбивается, как минимум, на два раздела (части физического диска). Первый раздел отводится для MS DOS и некоторых файлов, обеспечивающих запуск сетевой операционной системы. Размер раздела 3-5 Мбайт. Этот раздел форматируется в формате MS DOS. Второй раздел диска форматируется в формате NetWare, В нем размещаются модули сетевой операционной системы, сетевые утилиты, служебные каталоги и другие модули необходимые для функционирования файл-сервера и сети. Здесь же размещаются базы данных и файлы, которые должны быть доступны пользователям рабочих станций, подключенных к сети. Структура сетевой операционной системы NetWare приведена на рис. 6.28. Примечание. Включенные в состав сетевой операционной системы службы представляют собой программные модули, обеспечивающие выполнение определенных функций.
Рис. 6.28. Структура сетевой операционной системы NetWare Операционная система использует для передачи данных два основных протокола - IPX и SPX.
Кроме этих двух основных протоколов может использоваться протокол NET-BIOS (Network Basic Input/Output System - сетевая базовая система ввода-вывода). Протокол разработан фирмой IBM и ориентирован на передачу данных между рабочими станциями. По сравнению с протоколами IPX и SPX он является протоколом более высокого уровня (выполняет функции сетевого, транспортного и сеансового уровней). Для обеспечения работы этого протокола в составе операционной системы NetWare существует специальная программа netbios.exe. Обычно ее используют при работе с прикладными программами. Структура сетевой оболочки на рабочей станцииРабочие станции сети - персональные компьютеры. Пользователи, работающие на них, имеют свой набор файлов и собственную операционную систему: MS DOS, OS/2 и др. Так как операционная система NetWare отличается от операционных систем рабочих станций, то рабочие станции взаимодействуют с файл-сервером через специальную сетевую оболочку (рис 6.29). Она загружается в оперативную память рабочей станции как задача ее операционной системы при подключении станции к сети. В состав оболочки входят четыре резидентные программы, основной из которых является запросчик DOS (DOS Requester). Главная его задача - перенаправление запросов от прикладных программ на доступ к файлам либо на локальный диск, либо на сетевой диск. Если файлы находятся на локальных дисках, то запросчик возвращает запрос в DOS. Если же файл находится на сетевом диске, то производится обслуживание запроса: определяется, с какого сервера, с какого тома или каталога необходимо прочитать файл.
Рис.6.29. Структура сетевой оболочки рабочей станции Для прикладной программы, работающей в среде MS DOS, запросчик эмулирует работу жесткого диска. После загрузки его в оперативную память рабочей станции пользователь получает в свое распоряжение дополнительные логические диски. Физически этих дисков на рабочей станции нет, но для программ и для пользователя они ничем не отличаются от локальных жестких дисков. Распределенная служба каталогов (NDS) Распределенная служба каталогов NDS - NetWare Directory Service - хранит информацию о всех пользователях сети, о серверах и ресурсах сети в специальной базе данных. Доступ к этой базе данных имеют как администраторы, так и пользователи сети. Все серверы одной сети хранят информацию о всех сетевых ресурсах. Получается, что они используют один каталог сложной структуры, а для всех пользователей сети создается единое сетевое пространство. Пользователь не знает, какой ресурс поддерживает каждый сервер. Он обращается к нему через службу NDS по уникальному имени ресурса. Любой сервер может предоставить ему требуемый ресурс. Распределенная служба каталогов состоит из объектов. Каждый объект обладает набором определенных свойств и принимаемых ими значений. Информация об объектах хранится в виде записей в базе данных службы NDS. Дерево каталогов NetWare. Дерево каталогов состоит из трех основных частей: корня (корневого объекта), контейнеров и листьев.
Пример 6.14. Контейнер, содержащий пользователей, серверы и принтеры факультета, удобно назвать FACULTY. В NetWare 4.1 существуют три типа контейнеров: страны, организации, подразделения. Контейнеры различных типов позволяют создавать структуры деревьев, отвечающие особенностям конкретных сетей. Пример 6.15. Для сетей, имеющих выход за пределы страны, необходимо в соответствии с требованиями стандартов иметь контейнер страна (электронная почта). Объекты, принадлежащие конкретной организации или фирме, рекомендуется хранить в контейнере организация. В контейнере организация можно создавать контейнеры подразделения для деления сети в соответствии со структурой фирмы. Листья входят в состав контейнеров и являются всегда последним уровнем иерархии. Листья как объекты дерева каталогов соответствуют таким элементам, как пользователи, серверы, дисковые тома, очереди печати. Листья не могут содержать в себе никаких объектов. Примечание. Дерево каталогов NDS аналогично структуре каталогов файловой системы MS DOS. Контейнерам соответствуют каталоги, содержащие файлы и Другие каталоги, а листьям - файлы. В NetWare 4.1 существуют 19 типов объектов. Объекты могут обозначаться именами и пиктограммами. Имена пользователей в дереве каталогов. Для идентификации пользователя используется следующая схема: имя листа (пользователь).имя контейнера (расположение листа).имя контейнера следующего уровня. вершина дерева. Пример 6.16. Пользователь Victor Stoupak (STOUVIC), сотрудник кафедры информационных систем в экономике и менеджменте (ISEM), входящей в состав факультета экономики и менеджмента (FEM) Санкт-Петербургского технического университета (SPTU). Полное его имя будет иметь вид: STOUVIC. ISEM. FEM. SPTU Расположение объекта в дереве каталогов. Для описания расположения объекта в дереве каталогов используется термин "контекст". Контекст пользователя в дереве каталогов - список контейнеров, в которых он находится. Пример 6.17. Контекст пользователя из предыдущего примера: ISEM. FEM. SPTU Структура файловой системы NetWare. Файловая система состоит из томов, которые представляют систему дисковой памяти. Тома - объекты в каталоге NDS. Они являются высшим (корневым) уровнем в структуре каталогов дисков операционной системы NetWare. Сервер может поддерживать до 64 томов. Том - физическая область на жестком диске файл-сервера внутри раздела, отведенного для дисковой операционной системы. Максимальная величина одного тома может достигать 32 Тбайт. На жестком диске файл-сервера можно организовать до 64 томов. Первый том в системе всегда носит название SYS. Он создается при установке операционной системы. На нем находится следующая структура каталогов:
Дня того чтобы с томом можно было работать, его необходимо смонтировать. Тома монтируются при загрузке сервера NetWare. Том SYS монтируется автоматически. Другие тома монтируются с помощью команд в файле конфигурации AUTOEXEC.NCF. Монтирование и размонтирование тома можно производить с консоли файл-сервера, используя команды mount и dismount. Примечание. На каталоги томов NetWare можно ссылаться точно так же, как на каталоги MS DOS, т.е. используя маршруты (пути). Пример 6.18. Полное имя каталога SYSTEM на томе SYS имеет вид SYS:SYSTEM. Для указания подкаталога DATA необходимо ввести: SYS: SYSTEM/DATA. Если каталог находится на сервере VICTOR, то ссылка на него будет выглядеть так: VICTOR/SYS: SYSTEM/DATA. Специальная команда операционной системы MAP позволяет упростить схему имен каталогов NetWare и осуществлять ссылку на каталоги по буквенным меткам дисков. Команда MAP аналогична команде PATH в операционной системе MS DOS. Ее можно использовать для создания путей доступа к выполняемым файлам. Для этого команду MAP необходимо включить в сценарий регистрации пользователя в системе. При выполнении сценария регистрации все пути и диски будут задаваться автоматически. Создавать новые каталоги можно с помощью команды MD в MS DOS или с помощью специальной утилиты NetWare FILER. NetWare также позволяет использовать команды CD и RD в MS DOS. Рекомендуется разделять при записи на тома файлы приложений и программ и файлы данных. НАЗНАЧЕНИЕ ОСНОВНЫХ КОМАНД NETWAREРабота с файлами и каталогами в NetWare Ранее упоминалось о возможности использования для работы с файлами и каталогами в NetWare команд операционной системы MS DOS. В то же время существуют специальные команды и утилиты сетевой операционной системы, которые более надежны, чем команды MS DOS. К числу команд NetWare, которые применяются для управления файлами и каталогами, относятся: NCOPY, ND1R, RENDIR. Команда NDIR используется для получения следующей информации :
Команда NCОРY обеспечивает копирование файлов из одного сетевого каталога в другой. Она более надежна в сети, чем команда COPY в MS DOS. Команда RENDIR используется для переименования каталогов. В состав средств управления работой сети входит достаточно большое число различных утилит. Они предназначены для работы как пользователей сети, так и администратора сети в среде NetWare. Все существующие утилиты можно разделить на четыре группы:
Все утилиты командной строки хранятся в каталоге SYS:PUBLIC и поэтому доступны практически всем пользователям сети. Это обеспечено правами просмотра и чтения файлов в каталоге для каждого пользователя. Команды администратора доступны только администратору сети и поэтому хранятся в каталоге SYS:SYSTEM. В этом же каталоге хранятся все загружаемые сетевые модули, файлы конфигурации NetWare и специальный файл счетов системы учета ресурсов системы. Доступ к каталогу рядовых пользователей нежелателен. Управление работой файл-сервера ведется с подключенной к нему клавиатуры - консоли сервера. В сети могут быть использованы как локальная, так и удаленная консоль. Специальная программа RCONSOLE обеспечивает пользователю, имеющему прямой доступ к серверу, возможность вводить консольные команды. Это позволяет управлять режимами работы сервера, но требует специальных знаний и права на доступ к консоли. Наибольший интерес для пользователей, работающих в среде MS DOS, представляют утилиты, управляемые собственным меню. Из их числа следует выделить утилиты NETADMIN, FILER и NETUSER. Утилиты, управляемые из собственного меню, гораздо более удобны для конечного пользователя, так как включенные в них специальные компоненты существенно упрощают их понимание и с помощью системы подсказок "ведут" пользователя к выбранной цели. Компонентами таких утилит являются:
Утилита NETADMIN. Эта утилита предназначена для конфигурирования системы. Она доступна как обычному пользователю, так и администратору системы. Через главное меню утилита NETADMIN обеспечивает выполнение следующих функций:
Пользователь с рабочей станции может получить с помощью утилиты NETADMIN необходимую информацию о своей сети. Пункт меню "возможности супервизора" доступен только администратору системы и пользователю, обладающему его правами. Примечание. В среде Windows функции утилиты NETADMIN выполняет утилита NWADMIN. Утилита NETUSER. Основное назначение утилиты NETUSER - управление картами маршрутизации, в которых устанавливается соответствие между томом на жестком диске и конкретным логическим дисководом. Она также используется для получения информации о пользователях сети и для пересылки сообщений между рабочими станциями сети. Через главное меню утилиты обеспечивается доступ к следующим функциям: Утилита FILER. Это главная утилита NetWare для работы с файлами и каталогами. Круг задач, которые можно решать с ее помощью, определяется системой защиты NetWare. Через главное меню утилиты реализуется доступ к функциям: Трех рассмотренных утилит вполне достаточно для того, чтобы удовлетворить запросы обычного пользователя сети. Пользователю легко освоить работу в сети с помощью утилит, управляемых через собственное меню, так как она практически ничем не отличается от работы с распространенными программными продуктами, имеющими ниспадающее меню. ОРГАНИЗАЦИЯ ЗАЩИТЫ СЕТЕВЫХ РЕСУРСОВ В NETWARE Назначение защиты в ЛВС Как и любая многопользовательская система, локальная компьютерная сеть предъявляет достаточно жесткие требования к сохранности данных и защите сетевых ресурсов от несанкционированного доступа. Для создания эффективной защиты необходимо разработать ее стратегию. Обычно стратегия защиты включает в себя ограничения, накладываемые на пользователя, и ограничения, накладываемые на каталоги и файлы. В состав ограничений, накладываемых на пользователя, входят: Примечание. Пользователь может войти в сеть под одним именем с нескольких рабочих станций. Появляются конкурирующие соединения, которые могут повлиять на нагрузку сети. С этой целью устанавливается порог для числа входов в сеть под одним именем. Для введения ограничений доступа к файлам и каталогам устанавливаются восемь типов прав доступа. Право доступа - возможность выполнять в сети определенные операции с данными, предоставляемая пользователю сетевой операционной системой. Эти права распространяются на файлы и подкаталоги в пределах каталога. Кроме того, для файлов и каталогов могут быть установлены специальные признаки - атрибуты (5 типов для каталогов и 14 типов для файлов). Атрибуты определяют возможности работы с файлами и каталогами для того или иного типа пользователя. Так как ограничения, накладываемые на пользователя, зависят от их типа или категории, то операционная система NetWare определяет категории пользователей сети. Пользователи сети NetWare Перед началом работы в сети каждый человек должен определить свой статус пользователя. Операционная система NetWare устанавливает четыре основные категории пользователей: администратор (супервизор), пользователь рабочей станции, оператор, аудитор. Главную роль в сети играет ее администратор. Администратор отвечает за правильную и бесперебойную работу данной сети и управляет работой всей системы. Он может вводить и удалять пользователей, назначать права доступа, обновлять и реконфигурировать всю сеть. Пользователи рабочих станций - это конечные пользователи, регулярно работающие с сетью. Они получают в свое распоряжение файловое пространство, доступ к разделяемым ресурсам базы данных, возможность выхода в другие сети и доступ к сетевой печати. Операторы сети -это те же пользователи, имеющие некоторые дополнительные возможности по управлению сетью. Это может быть управление очередями на сетевую печать, организация работы сервера печати, работа в режиме удаленной консоли. Под удаленной консолью понимается эмуляция посредством специальной программы консоли файл-сервера на рабочей станции. Аудитор -пользователь, который может собирать различные статистические данные о сети и о событиях, происходящих в ней, без контроля со стороны администратора сети- Для удобства можно объединять пользователей сети в группы. Группа - совокупность пользователей, выполняющих определенный класс задач, требующих доступа к общей информации. В сети могут существовать несколько групп пользователей, причем каждой группе назначается менеджер. Менеджер группы обладает большими возможностями по сравнению с рядовыми пользователями. Он может создавать и удалять группы пользователей, включать и удалять отдельных пользователей группы, назначать опекунские права и присваивать статус менеджера отдельным пользователям. Внимание! Во время установки сети создается только администратор с именем SUPERVISOR. Всех остальных пользователей создает администратор. Он присваивает им имена и пароли. Каждый новый пользователь по умолчанию получает право пользоваться сетевой печатью и доступ к утилитам, находящимся в каталоге PUBLIC. Supervisor имеет в сети полный набор привилегий. Его удалить нельзя. Он может, кроме того, создавать пользователей с такими же правами, которых в отличие от него удалить можно. Запомните!Для того чтобы работать в сети, пользователю необходимо знать или уметь выяснить свое сетевое имя, пароль и расписание работы. Эту задачу помогает решить единственный доступный пользователю (после загрузки сетевой оболочки) каталог на файл-сервере - LOGIN. С помощью утилиты NLIST пользователь определяет доступные для него файл-серверы данной сети. С помощью утилиты LOGIN пользователь регистрируется в сети на выбранном файл-сервере. Подключение в процессе работы к другому файл-серверу обеспечивает утилита ATTACH. Для отключения от одного из файл-серверов или для выхода из сети используется утилита LOGOUT. Основные средства защиты в NetWare Операционная система NetWare предоставляет пользователю сети четыре уровня защиты: защита именем регистрации и паролем; защита правами опекунства; защита каталогов фильтром наследуемых прав; защита каталогов и файлов при помощи атрибутов. Эти уровни можно использовать как отдельно, так и в различных комбинациях. При создании определенной структуры ЛВС администратор сети должен определить группы, состав групп и установить права для групп и пользователей в файлах и каталогах. Защита именем регистрации и паролем. Эта защита устанавливается администратором сети с помощью утилиты NETADMIN в режиме "возможности супервизора". С ее же помощью устанавливается ограничение числа конкурирующих соединений и числа допустимых вводов неправильного пароля. Эти ограничения вводятся для всех пользователей. Ограничение времени доступа в сеть может быть установлено как для отдельных пользователей, так и для групп пользователей. Внимание! Пользователь всегда может получить сведения о своей рабочей станции после подключения к сети с помощью утилиты WHOAML. Опекунские права (Trustee Rights). Опекунские права предоставляются для работы с файлами определенного каталога. При получении прав в некотором каталоге пользователь автоматически получает те же права и во всех его подкаталогах. Опекунские права можно также назначать и на отдельные файлы. Можно назначать опекунские права и пользователям, и группам. Групповое право автоматически распространяется на всех членов группы. Операционная система NetWare предусматривает назначение восьми типов опекунских прав: S (Supervisor) - супервизорное право; R (Read) - чтение из файла; W (Write) - запись в файл; A (Access Control) - контроль доступа; С (Create) - создание новых файлов и каталогов; Е (Erase) - удаление файлов и каталогов; F (File Scan) - поиск файлов и каталогов; М (Modify) - модификация атрибутов файлов, переименование файлов и каталогов. Внимание! Супервизорное право (S) позволяет: создавать, переименовывать и стирать подкаталоги в данном каталоге, устанавливать опекунские права и фильтр прав, восстанавливать любые другие права в нем. Право контроль доступа (А) дает возможность назначать любые права другим опекунам. В реальной работе сети пользователю назначается комбинация этих прав. Фильтр наследуемых прав (Inherited Rights Filter). На каталоги и всех опекунов в подкаталогах влияет специально устанавливаемый фильтр наследуемых прав. Максимально фильтр включает все опекунские права и сокращенно записывается в виде : [SRWCEMFA]. Каждая буква соответствует начальной в названии опекунского права. При создании подкаталога ему присваиваются максимальные права, которые в дальнейшем можно изменить. Фильтр наследуемых прав позволяет фильтровать права только сверху вниз. Изменение фильтра можно выполнить с помощью команды MAP или утилиты FILER. Запомните! Фильтр наследуемых прав используется только для уменьшения прав. Права, отфильтрованные маской, не могут появиться вновь на нижних уровнях системы каталогов. Обычно фильтр наследуемых прав применяют для каталогов, которые совместно используются многими пользователями сети. Накладывая ограничения на такие каталоги, администратор сети точно знает, что пользователи смогут выполнять в подкаталогах только те работы, которые им разрешены. При установке фильтра изъятые права обозначены символом подчеркивания. Пример 6.19. При создании каталога пользователь унаследовал права [_RWCEMFA]. Но администратором на каталог пользователя наложена маска [ _R_ _ _ _F_]. Это значит, что ему в данном каталоге разрешается поиск файлов и просмотр информации в них. Фильтр пропускает только те права из списка максимальных, которые в нем указаны. Пользователь сети должен знать свои эффективные права. Эффективные права- права, которые в действительности получает пользователь на данный каталог и файл. Для определения эффективных прав необходимо знать:
Запомните! Пользователь получает все права той группы, в которую он входит, дополнительно к своим собственным. Эффективные права определяются суммой пользовательских и групповых, если нет фильтра наследуемых прав. Пример 6.20. Пользовательские права [_R_CE_F_]. Групповые права [_RW_ _MF_]. Эффективные права [RWCEMF]. Запомните! Если введен фильтр наследуемых прав, пользователь получает эффективные права, являющиеся результатом отфильтровывания унаследованных прав каталога фильтром. Вниз пропускаются те права, которые совпадают с правами в фильтре. Пример 6.21. Права, унаследованные из каталога [_RWCEMF_]. Фильтр наследуемых прав каталога [SRW_ _ _ F_]. Эффективные права пользователя [_RW _ _ _F_]/ Запомните! Пользователь с правами супервизора имеет все права в системе каталогов, расположенных ниже того, где ему было предоставлено это право. Оно не может быть ограничено на более низких уровнях структуры каталогов. Просмотр, назначение и удаление прав. В операционной системе NetWare пользователь может просмотреть свои права в разных каталогах с помощью утилиты NETADMIN. Установка маски прав, назначение опекунов каталогам и изменение опекунских прав производятся с помощью утилиты FILER. Эта же утилита позволяет определить пользователю свои эффективные права. Кроме утилит-меню для выполнения указанных операций можно использовать и утилиты командной строки RIGHTS. Утилита RIGHTS обеспечивает выполнение следующих функций:
Права, устанавливаемые по умолчанию. Как было сказано ранее, после установки на файл-сервере сетевой операционной системы NetWare автоматически создаются том SYS: и каталоги LOGIN, PUBLIC, SYSTEM, MAIL. В сети существует администратор Supervisor с заданным при первом входе в сеть паролем. Для возможности работы в сети предоставляются автоматически определенные права. Supervisor получает все права во всех каталогах, вновь создаваемые пользователи - все права в каталоге MAIL и права поиска и чтения в каталогах LOGIN и PUBLIC. В каталоге SYSTEM, кроме администратора Supervisor, никто никаких прав не имеет. Защита файлов и каталогов атрибутами. При работе в вычислительной сети приходится разделять большие информационные файлы, к которым имеет доступ много пользователей. При разрушении или искажении информации файла восстановить его в прежнем состоянии практически невозможно. С этой целью в сети NetWare введена защита файлов и каталогов атрибутами. Применение атрибутов дает пользователям возможность регулировать процесс совместного использования его личных файлов и каталогов и модификации их. Для защиты файлов имеются 13 атрибутов, но чаще всего применяются следующие шесть атрибутов: Read-Write(Rw) - файл для чтения и записи; Read-Only (Ro) - файлы только для чтения; Shareable (Sh) - разделяемые файлы; Delete Inhibit (Di) - удаление файла запрещено; Rename Inhibit (Ri) - переименование файла запрещено; System File (Sy) - скрытый системный файл. Любой вновь созданный файл по умолчанию получает атрибуты Read-Write, и он является файлом неразделяемым. Запомните! Атрибуты файлов можно установить либо командой FLAG, либо утилитой FILER. Для каталогов могут быть установлены девять атрибутов, основными из которых являются:
Запомните! Атрибуты каталогов устанавливаются с помощью утилиты FLAG. Работать с ней может только пользователь, обладающий правом Modify (M) в родительском каталоге. |
|