Nie bój się sieci Novell, czyli skrócony kurs administratora Systemu cz. II

Kolejnym tematem blisko związanym z użytkownikami są hasła

Kolejnym tematem blisko związanym z użytkownikami są hasła

Być może w Twoim systemie są wyłączone, jednakże namawiamy do ich używania. Hasła uniemożliwiają dostęp do systemu osobom niepowołanym, w szczególności nieprzeszkolonym, które mogłyby dokonać mimowolnego sabotażu. Zajrzyjmy do submenu USER INFORMATION, wybierzmy kolejno nazwę użytkownika, po czym Account Restrictions. Tutaj możemy ustawić warunki zgłaszania się użytkownika. Account na razie zostawmy. Po drodze ustawmy od razu Limit Concurrent Connections na YES i maximum connections na 1. "Zwykły" użytkownik nie ma potrzeby włączać się do systemu równocześnie wielokrotnie. (Użytkowników grupowych omówimy później). Allow User To Change Password oraz Require Password ustawiamy na YES i wpisujemy minimalną długość hasła (np. 5 znaków). Hasło jest wyłączną własnością użytkownika i niech sobie robi z nim co chce. Kolejne punkty pozwalają zmusić użytkownika do okresowych zmian hasła. Jest to celowe w przypadku użytkowników grupowych, gdyż wtedy istnieje duże prawdopodobieństwo ujawnienia hasła. Jeżeli chcemy z tej możliwości skorzystać, to włączmy opcję Force Periodic Password Changes (przymus okresowej zmiany haseł), wpisujemy interwał (w dniach) i datę najbliższego żądania zmiany hasła (Date Password Expires). Grace Logins oznacza prawo wpisania się do sieci bez dokonania żądanej przez system zmiany hasła. Po przekroczeniu wskazanego limitu (Grace Logins Allowed) użytkownik zostanie zawieszony w swoich prawach, tzn. nie będzie mógł wpisać się do sieci.

Jeszcze łatwiej można zorganizować pracę użytkownikom grupowym. Jeżeli np. w Dziale Kadr pracuje kilka pań, które w tym samym zakresie korzystają z systemu, to zamiast deklarować całą grupę użytkowników: Kasia, Zosia, Basia itd. korzystniej jest wszystkie te osoby podciągnąć pod jedną nazwę, np. Kadry. Jeżeli w dziale tym jest kilka stacji roboczych systemu, to oczywiście wpiszemy odpowiedni limit Maximum Connections. Przy okazji słów parę o wpisaniu się do sieci, czy

Login

Zauważyłeś już chyba, że podczas wpisywania hasła nie jest ono wyświetlane na ekranie. Tak naprawdę, to żadnego hasła nikt nigdy nie zobaczy na ekranie komputera - to w celu zmylenia nieprzyjacielskiego wywiadu. Wracając do tematu, który właściwie powinien brzmieć: LOGOUT, chcemy podkreślić z całym naciskiem: musisz wyrobić sobie nawyk wypisywania się z sieci za każdym razem, kiedy wstajesz od komputera. Bez żadnych wyjątków! Stacja robocza uruchomiona w sieci Twoim hasłem jest czymś w rodzaju Twojego podpisu z pieczęcią in blanco. Ktoś niepożądany może się tym, tzn. stacją łatwo posłużyć na Twoje konto. Być może już wiesz, że polecenie LOGIN wykonuje również operację wypisania się z sieci. Tak, to prawda, ale dopiero po pozytywnym zakończeniu, czyli jeśli po zakończeniu pracy dałeś polecenie LOGIN i tak zostawiłeś stację, to nadal jesteś pracującym użytkownikiem. Możesz się o tym przekonać przerywając program klawiszami Ctrl-C i pytając poleceniem WHOAMI. Kolejna opcja, która umożliwi Ci kontrolę nad tym, w jakim stopniu użytkownicy korzystają z zasobów i usług systemu są

Rozliczenia

czyli accounting. Rozliczenia pozwolą Ci rejestrować intensywność korzystania z serwera każdego z użytkowników. Otwórz więc sobie w programie SYSCON opcję ACCOUNTING i wybierz np. Connect Time Charge Rate, czyli stawki opłat za czas przyłączenia do serwera. Otworzy Ci się tabelka, w której możesz je sobie poustawiać w zależności od dnia tygodnia i pory dnia. Każdą z 20 stawek podajesz w formie ułamka, który oznacza opłatę za minutę przyłączenia do serwera.

W podobny sposób możesz ustalić opłaty za zapis, odczyt i przechowywanie plików dyskowych oraz za żądania obsługi. Opcja ta oczywiście służy do automatycznego obliczania należności za korzystanie z systemu w rozbudowanych, poważnych sieciach, ale nawet jeśli nie zamierzasz nikogo obciążać, to możesz przecież rejestrować. Jeśli zdecydujesz się na prowadzenie rozliczeń, to koniecznie musisz zrobić jeszcze jedną rzecz, i to dla każdego z użytkowników: w opcji User Information - Account Balance musisz ustawić Allow Unlimited Credit na YES, gdyż jeśli tego nie zrobisz, w ciągu kilku minut będziesz miał u siebie tłum użytkowników srodze niezadowolonych z faktu, że sieć niespodziewanie w trakcie pracy zrobiła im LOGOUT z powodu niezapłaconych rachunków. Teraz możemy już wrócić do tematu zabezpieczeń. Po angielsku nazywa się to

Security

Na temat dostępu do systemu powiedzieliśmy już w zasadzie wszystko, co niezbędne. Teraz zajmiemy się uprawnieniami. Jest to zasadniczy element systemu różnicujący użytkowników. Ogranicza on poczynania użytkowników w określonych obszarach (katalogach) dysku, a więc w praktyce, także w określonych funkcjach systemu, gdyż aby móc skorzystać z programu, trzeba najpierw dotrzeć do pliku, w którym jest przechowywany na dysku. Efektywne możliwości użytkownika w jakimś katalogu zależą od jego uprawnień (Trustee) w tym katalogu, oraz maski praw dostępu określonej dla katalogu. Tak więc użytkownik A może wykonać operację X na zawartości katalogu 1, jeśli użytkownik A posiada uprawnienie X w katalogu 1 lub nadrzędnym i równocześnie maska katalogu 1 dopuszcza operację X. Stosuje się 7 praw dostępu do katalogów, a dokładniej do ich zawartości. Wersja NetWare v.2.2 używa nieco innego zestawu, niż wcześniejsze. Przedstawiamy je w kolumnach:

v. 2.2 wcześniejsze

Read Read

Write Write

Open

Create Create

Erase Delete

Modify Modify

File scan Search

Access control Parental

Nie bardzo wiadomo, po co we wcześniejszych wersjach stosowano prawo do otwierania pliku (Open), skoro aby pisać lub czytać i tak trzeba otworzyć, a samo prawo do otwierania nie daje nic. Pytani o to instruktorzy od Novella udzielają wykrętnych odpowiedzi. Pierwsze sześć linii nie powinno budzić wątpliwości. Pozostałe oznaczają: File scan (Search) - prawo do przeszukiwania katalogu, Access control (Parental) - prawo do nadawania uprawnień i masek w podkatalogach.

Właściwe określenie efektywnych praw dostępu nie jest wcale banalne. Np. do uruchomienia programu wystarczy mieć [RF] (czyli Read i File scan) w katalogu zawierającym plik z tym programem, ale jeśli program np. tworzy i kasuje własne pliki tymczasowe, to trzeba jeszcze mieć [WCE]. W praktyce najwygodniej jest pakiet programu aplikacyjnego umieszczać w katalogu z maską [RF], przy pomocy DOS-owskiego środowiska (komendą SET) ustawić odpowiedni katalog na pliki tymczasowe z maską [RWCEMF], utworzyć "obok" katalog roboczy z maską [RWCEMF] służący do przechowywania danych ogólnie dostępnych, a oprócz tego umożliwić użytkownikom uruchamianie aplikacji ze swoich osobistych katalogów, gdzie mają maskę pełną [RWCEMFA]. Wspomnianych katalogów roboczych można oczywiście utworzyć więcej, po jednym dla każdego, realizowanego przy pomocy przedmiotowej aplikacji zadania i udostępnić każdy z nich określonej grupie użytkowników.

Uprawnienia użytkownikom i grupom nadajemy przy pomocy programu SYSCON, gdzie po wybraniu obiektu (tzn. użytkownika z menu User Information lub grupy z menu Group Information) wybieramy Trustee Directory Assignments. Wybieramy katalog w którym chcemy zmodyfikować uprawnienia, lub przyciskamy INS i ew. ENTER w celu dopisania innego katalogu, a następnie modyfikujemy uprawnienia posługując się klawiszem DEL (kasowanie) lub INS i ENTER (powiększenie zakresu uprawnień). Operację kończymy klawiszem ESC.

Do modyfikacji masek, a więc uprawnień nadawanych katalogom służy program FILER, który wygląda i działa podobnie, jek SYSCON. W celu zmodyfikowania maski wybranego katalogu uruchamiamy program FILER, wybieramy Select Current Directory, przyciskamy ENTER, przechodzimy do wybranego katalogu i wracamy do głównego menu (przez klawisz ESC). Wybieramy teraz Current Directory Information, po czym Maximum Rights Mask. Teraz w opisany wyżej sposób (klawisze DEL lub INS i ENTER) modyfikujemy maskę maksymalnych uprawnień w katalogu. NetWare oferuje możliwość automatycznego sprawdzenia systemu zabezpieczeń. Służy do tego program SECURITY. W wyniku jego uruchomienia wyświetlane są wszystkie "podejrzane" punkty mogące osłabić spójność ochrony systemu.

W zakresie ochrony plików NetWare, podobnie jak DOS, posługuje się atrybutami, jednakże znacznie szerzej. Oto przegląd stosowanych atrybutów plików (w wersji 2.2):

A To be archived - jak w DOS

X Execute only - plik tylko do uruchomienia (niekopiowalny)

H Hidden - jak w DOS

I Indexed - może być potraktowany "szybkim" indeksem

N Normal - inne atrybuty wyłączone

R/Rw Read only - jak w DOS

S Shareable - może być wielodostępny

Sy System - jak w DOS

T Transactional - może być przetwarzany pod kontrolą systemu śledzenia transakcji.

System atrybutów ma wyższy priorytet, niż efektywne uprawnienia, tak, że nawet Supervisor nie jest w stanie go przełamać (oczywiście, może zmienić flagi). Do przeglądania i modyfikacji atrybutów służy program FILER oraz polecenie FLAG. Konieczne jest przy tym posiadanie uprawnienia do modyfikowania (M) i przeglądania (F). Składnia polecenia FLAG w wersji 2.2 jest następująca:

START GRUPA

FLAG [path|[path\]filename [options...]]

options: znak - (zdejmij) lub + (ustaw) oraz wykaz oznaczeń atrybutów

Uwaga: zdjęcie atrybutu Ro następuje przez ustawienie Rw.

Np.: FLAG *.* -HSy +SRw

W wersji 2.15 składnia i atrybuty są nieco inne:

FLAG [[path\]filename [/[NOT]OPTION...]

option: Normal, Shareable, Read_Write, Read_Only, Index

albo Subdirectory

N.p.: FLAG *.* /s /rw

Każdy plik przeznaczony do wielodostępnego użytku musi posiadać atrybut S. Plik z atrybutem X nie może być kopiowany, przeglądany, archiwowany ani modyfikowany.

Omówione mechanizmy umożliwiają precyzyjne sterowanie dostępem użytkowników do systemu pod kątem ochrony danych i programów przed niepożądanym dostępem lub przypadkowym zniszczeniem. W pełnym zakresie można i trzeba je wykorzystać podczas instalacji sieciowego programu aplikacyjnego.

Drukowanie

Drukarki w sieci, podobnie jak dyski, mogą być lokalne (a więc "widoczne" tylko ze stacji roboczych do których są podłączone) oraz sieciowe (dostępne dla wszystkich). Drukowanie na drukarce lokalnej niczym nie różni się od pracy na komputerze samodzielnym, więc nie będziemy się tym zajmować. Porządnie zorganizowane drukowanie w sieci oznacza wysłanie plików do wydruku zamiast na drukarkę - do tzw. kolejki (Queue), czyli specjalnego katalogu na serwerze, skąd są one kolejno pobierane przez system i drukowane.

Zarządzanie kolejkami byłoby tematem na osobny artykuł, a więc ograniczymy się tu do przydatnego oszustwa polegającego na tym, że aplikacja, myśląc, że wysyła tekst do lokalnego portu (zwykle LPT1), faktycznie przekaże plik do wybranej kolejki. Zakładamy tutaj, że kolejki i zadania wydruku (print jobs) zostały już w systemie zainstalowane. Wspomniane oszustwo polega na użyciu programu CAPTURE (co znaczy: pochwycić, przechwycić). Program ten instaluje się w pamięci przed uruchomieniem aplikacji. Jego działanie polega na przechwyceniu transmisji do lokalnego portu i skierowaniu jej do wskazanej kolejki. Polecenie CAPTURE jest wydawane z zestawem parametrów (opcji), których jest kilkanaście. Nie będziemy ich tu szczegółowo omawiać (odsyłamy do dokumentacji "Using the Network"), a podamy jedynie w miarę uniwersalny przykład:

CAPTURE nb ti=5 q=nazwa_kolejki

nb - "no banner" - wydruk bez pustej strony pomiędzy plikami;

ti - "timeout" - czas (w sek.) dzielenia bloku transmisji, wysyłanej przez stację roboczą.

Jeżeli masz wątpliwości co do nazwy kolejki, spróbuj ten parametr pominąć. Po zakończeniu pracy z "drukującą" aplikacją, należy przechwytywanie unieważnić poleceniem: ENDCAP

Mamy nadzieję, że ta pigułka informacji pozwoli Ci bliżej poznać i lepiej zrozumieć system sieciowy NetWare, a także da Ci odrobinę satysfakcji i pozwoli lepiej zorganizować pracę przez dostosowanie systemu do Twoich potrzeb. Jeżeli rozbudziliśmy Twój apetyt, to odsyłamy do oryginalnej dokumentacji lub kogoś, kto już tę wiedzę posiadł. Powodzenia!


TOP 200