В операционной системе IBM OS/2 Warp версии 3.0 с установленным сервером IBM LAN Server 4.0 Advanced можно реализовать разграничение доступа к сетевым ресурсам (дискам, каталогам, принтерам) на уровне пользователей, применяя для этого иерархическую модель организации пользователей в домены и группы.
Домен в OS/2 – это совокупность серверов, чьи ресурсы и пользователей можно администрировать централизованно. Пользователям, имеющим в домене учетные записи, доступ к ресурсам предоставляется администратором. Тем, кто не зарегистрирован в данном домене, расположенные в нем ресурсы недоступны. Таким образом, домены служат для разграничения доступа к ресурсам на "макроуровне", позволяя обособить, например, независимые рабочие группы.
На следующем уровне логической организации пользователи делятся на группы. Членство пользователя в группе определяется администратором, который может назначать группе права и привилегии, распространяющиеся на всех ее членов. Права и привилегии пользователя определяют диапазон его полномочий в системе. Привилегии связаны с общесистемными действиями и образуют два уровня доступа: административный и обычный пользовательский. Первый обеспечивает полный и неограниченный контроль над доменом, его серверами, пользователями и ресурсами. Второй включает привилегии, позволяющие (по терминологии ОС PS/2):
- управлять очередями печати (Print);
- создавать новых пользователей и новые группы и изменять их права (Accounts);
- управлять устройствами, подключенными к последовательным портам компьютера (COMM);
- управлять доступом к совместно разделяемым ресурсам (Server).
Управлять учетными записями пользователей (создавать, удалять и модифицировать их) может только администратор или пользователь с соответствующей привилегией. При установке ОС создается по умолчанию учетная запись с административными привилегиями с идентификатором USERID и паролем PASSWORD.
Права пользователей связаны с конкретными объектами в домене и служат инструментом разграничения доступа к совместно используемым ресурсам, с каждым из которых в момент его создания ассоциируется отдельный список контроля доступа. Доступ пользователя к ресурсу считается разрешенным, если его идентификатор или идентификатор одной из групп, членом которой он является, указан в связанным с данным ресурсом списке. Таким образом, в OS/2 реализуется защита ресурсов по принципу "что не разрешено, то запрещено". Например, список контроля доступа к совместно используемому каталогу содержит имена пользователей или групп вместе с предоставленными им видами доступа, которые могут включать:
- изменение атрибутов файлов (Attributes);
- создание файлов и каталогов (Create);
- удаление файлов и каталогов (Delete);
- изменение прав доступа (Permissions);
- чтение (Read);
- запись (Write);
- запуск программ на выполнение (Execute).
Средства OS/2 позволяют по выбору администратора проконтролировать доступ к ресурсу, для чего связанные с доступом события разделены на три категории:
- успешные обращения;
- отказы;
- успешные обращения и отказы.
Таким образом, прежде, чем получить возможность обращаться к ресурсам домена, пользователь должен войти в домен, указав свой идентификатор и правильно набрав пароль. Аутентификацию пользователя производит контроллер домена, который поддерживает базу данных учетных записей и базу данных ресурсов домена. В случае успешной аутентификации пользователь получает доступ к ресурсам в соответствии с имеющимися у него правами и привилегиями.
Для защиты от атак на парольную систему в OS/2 предусмотрены возможности блокирования учетной записи после заданного числа неудачных попыток ввода пароля, установки срока действия пароля и запрещения смены пароля пользователем.
Помимо разграничения доступа на уровне пользователей для файлов и каталогов в OS/2 поддерживается разграничение доступа на уровне ресурсов посредством четырех атрибутов:
- только для чтения (read-only);
- скрытый (hidden);
- системный (system);
- архивный (archive).