Разграничение доступа в OS/2

В операционной системе IBM OS/2 Warp версии 3.0 с установленным сервером IBM LAN Server 4.0 Advanced можно реализовать разграничение доступа к сетевым ресурсам (дискам, каталогам, принтерам) на уровне пользователей, применяя для этого иерархическую модель организации пользователей в домены и группы.

Домен в OS/2 – это совокупность серверов, чьи ресурсы и пользователей можно администрировать централизованно. Пользователям, имеющим в домене учетные записи, доступ к ресурсам предоставляется администратором. Тем, кто не зарегистрирован в данном домене, расположенные в нем ресурсы недоступны. Таким образом, домены служат для разграничения доступа к ресурсам на "макроуровне", позволяя обособить, например, независимые рабочие группы.

На следующем уровне логической организации пользователи делятся на группы. Членство пользователя в группе определяется администратором, который может назначать группе права и привилегии, распространяющиеся на всех ее членов. Права и привилегии пользователя определяют диапазон его полномочий в системе. Привилегии связаны с общесистемными действиями и образуют два уровня доступа: административный и обычный пользовательский. Первый обеспечивает полный и неограниченный контроль над доменом, его серверами, пользователями и ресурсами. Второй включает привилегии, позволяющие (по терминологии ОС PS/2):

- управлять очередями печати (Print);

- создавать новых пользователей и новые группы и изменять их права (Accounts);

- управлять устройствами, подключенными к последовательным портам компьютера (COMM);

- управлять доступом к совместно разделяемым ресурсам (Server).

Управлять учетными записями пользователей (создавать, удалять и модифицировать их) может только администратор или пользователь с соответствующей привилегией. При установке ОС создается по умолчанию учетная запись с административными привилегиями с идентификатором USERID и паролем PASSWORD.

Права пользователей связаны с конкретными объектами в домене и служат инструментом разграничения доступа к совместно используемым ресурсам, с каждым из которых в момент его создания ассоциируется отдельный список контроля доступа. Доступ пользователя к ресурсу считается разрешенным, если его идентификатор или идентификатор одной из групп, членом которой он является, указан в связанным с данным ресурсом списке. Таким образом, в OS/2 реализуется защита ресурсов по принципу "что не разрешено, то запрещено". Например, список контроля доступа к совместно используемому каталогу содержит имена пользователей или групп вместе с предоставленными им видами доступа, которые могут включать:

- изменение атрибутов файлов (Attributes);

- создание файлов и каталогов (Create);

- удаление файлов и каталогов (Delete);

- изменение прав доступа (Permissions);

- чтение (Read);

- запись (Write);

- запуск программ на выполнение (Execute).

Средства OS/2 позволяют по выбору администратора проконтролировать доступ к ресурсу, для чего связанные с доступом события разделены на три категории:

- успешные обращения;

- отказы;

- успешные обращения и отказы.

Таким образом, прежде, чем получить возможность обращаться к ресурсам домена, пользователь должен войти в домен, указав свой идентификатор и правильно набрав пароль. Аутентификацию пользователя производит контроллер домена, который поддерживает базу данных учетных записей и базу данных ресурсов домена. В случае успешной аутентификации пользователь получает доступ к ресурсам в соответствии с имеющимися у него правами и привилегиями.

Для защиты от атак на парольную систему в OS/2 предусмотрены возможности блокирования учетной записи после заданного числа неудачных попыток ввода пароля, установки срока действия пароля и запрещения смены пароля пользователем.

Помимо разграничения доступа на уровне пользователей для файлов и каталогов в OS/2 поддерживается разграничение доступа на уровне ресурсов посредством четырех атрибутов:

- только для чтения (read-only);

- скрытый (hidden);

- системный (system);

- архивный (archive).