2. ИНСТАЛЯЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

 

Цель построения всякой системы — достижение состояния, при котором все имеющиеся объекты управления будут находиться под контролем и готовы адекватно реагировать на управляющие воздействия.

 

2.5.Отношения доменов

В сети, состоящей из двух и более доменов, каждый домен действует как отдельная сеть со своей базой данных учетных записей. Однако даже в наиболее жестко структурированной организации некоторым пользователям из одного домена могут понадобиться какие-нибудь ресурсы из другого домена. Обычное решение этой проблемы, связанной  с настройкой уровней доступа пользователей между различными доменами, называется установлением доверительных отношений.

 

2.5.1.Недоверительные отношения между доменами

Может существовать несколько доменов, между которыми не установлены доверительные отношения. Например, у пользователя могут быть учетные записи в каждом домене многодоменной сети. На рис.1 показана сеть с двумя доменами; один домен называется Финансы (Ф), а другой Maркетинг (М).

Когда пользователь регистрируется в домене М, он получает доступ к его ресурсам, как установлено администратором, но у него нет при этом доступа к домену Ф. Аналогично при входе в домен Ф у пользователя нет доступа к домену М. Чтобы снова добраться до ресурсов домена М, пользователь должен выйти из домена Ф и войти в домен М.

домен Финансы            домен Маркетинг

Рис.1. Домены, между которыми не установлены доверительные отношения

 

При таком подходе возникает проблема, когда пользователю, имеющему доступ к нескольким доменам, требуется одновременный доступ к их ресурсам, что при данной организации невозможно. Каждый раз, когда надо будет сменить пароль или изменить права доступа, администратору придется пройтись по доменам, регистрируясь и выполняя нужные изменения в каждом из них. Это очень трудоемкий процесс.

 

2.5.2. Односторонние доверительные отношения

Чтобы удовлетворить пользователя, которому необходим доступ к обоим доменам (М и Ф), описанным выше, можно установить между доменами одностороннее доверительное отношение. Рис. 2 иллюстрирует этот самый простой тип доверительных отношений. Домен Ф является доменом-доверителем, а М — доверенным доменом.

 

 

домен Финансы                                      домен Маркетинг

Рис.2.  Одностороннее доверительное отношение

 

Если пользователь может войти в домен М, то домен Ф доверяет  ему, считая, что пользователь вошел и в него. Это вовсе не означает, что пользователь автоматически получит доступ к ресурсам домена Ф; ему должны быть выданы соответствующие разрешения администратором этого домена. Это не означает также, что пользователи, которые вошли непосредственно в домен Ф, имеют доступ к домену М, доверенному домену.

Для того чтобы это стало возможным, необходимо отдельно установить еще одно одностороннее доверительное отношение, в котором доменом-доверителем будет М, а доверенным доменом — Ф.

 

2.5.3. Двусторонние доверительные отношения

Двусторонние доверительные отношения предоставляют большую гибкость регулирования доступа пользователя к ресурсам и значительно упрощают администрирование сети. При двусторонних доверительных отношениях пользователь, вошедший в один домен, будет считаться прошедшим проверку подлинности в другом домене. У пользователя в этом случае должен быть доступ к ресурсам другого домена в пределах, установленных администратором этого домена. Двусторонние доверительные отношения устанавливаются посредством двух односторонних доверительных отношений, по одному в каждом направлении, как показано на рис.3 .

 

 

домен Финансы                                      домен Maркетинг

Рис. 3.  Двусторонние доверительные отношения

 

 Главным достоинством двусторонних доверительных отношений является то, что учетные записи пользователей необходимо создавать лишь один раз, предпочтительно в основном («домашнем») домене. Они будут доступны на всех доменах-доверителях, что значительно облегчает администрирование сети.

 

2.5.4.Непередаваемость доверия

Разрабатывая сеть, важно знать, что все доверительные отношения необходимо устанавливать по отдельности. Иначе говоря, доверие не передается из одного домена в другой. На рис.4  показана сеть из трех доменов. Домен М доверяет домену Ф, и наоборот. Третий домен, Образование (О), имеет двусторонние доверительные отношения с доменом Ф. Однако домены О и М не будут доверять друг другу, пока между ними не будут установлены доверительные отношения.

Рис.4. Несколько доменов с отдельно установленными доверительными отношениями

 

Если бы понадобилось предоставить пользователю из домена О доступ к ресурсам домена М или наоборот, то нужно было бы установить между этими доменами доверительные отношения, замкнув тем самым круг отношений.

Тогда диаграмма установленных отношений выглядела бы так, как показано на рис.5, если предположить, что устанавливаются двусторонние доверительные отношения.