Úvod
Počítačové sítě
Visual Basic 6
PHP
Technické vybavení
Technická dokumentace
Technické vybavení
Obsah
Kapitola 1
Kapitola 2
Kapitola 3
Kapitola 4
Kapitola 5
Kapitola 6
Kapitola 7
Kapitola 8
Kapitola 9
Kapitola 10
Kapitola 11
Kapitola 12
Kapitola 13
Kapitola 14
Kapitola 15
Kapitola 16
Kapitola 17
Kapitola 18
Kapitola 19
Kapitola 20
Kapitola 21
Kapitola 22
Kapitola 23
Kapitola 24
Kapitola 25
Kapitola 26
Kapitola 27
Kapitola 28
Kapitola 29
Kapitola 30
:: 29. Přístup ke zdrojům (57. - 58. hodina)
Mechanizmus rozhodování, zda systém dovolí uživateli přístup ke zdroji, sestává ze dvou fází:
  • autentikace - ověření uživatele
  • autorizace - rozhodnutí, jak bude požadavek vyřízen
Oprávnění a právo není totéž.

29.1 Práva - rights

Jedná se o práva k systému.
Například právo přihlásit se k počítači, právo ke změně systémového času. Práva se nastavují v politikách.

29.2 Oprávnění - permission

Oprávnění - permission - nastavuje se na zdrojích (složky, tiskárny, soubory).
Definují typ přístupu, který bude přidělen uživateli, skupině nebo počítači k danému objektu.
Například na souboru můžeme nastavit, kdo bude moci soubor číst, měnit, kdo bude mít plnou kontrolu apod.

Oprávnění se skládá ze dvou částí:
  • oprávnění sdíleného adresáře - uplatňuje se při vzdáleném přístupu přes síť.
  • NTFS oprávnění (zabezpečení) - uplatňuje se vždy, ať už při přístupu přes síť nebo přímém přístupu k lokálnímu zdroji.

29.2.1 Standardní a speciální NTFS oprávnění

Ve vlastnostech objektu na kartě Security najdeme seznam uživatelů a skupin, kterým je nastavováno oprávnění.
Po kliknutí na některého uživatele v seznamu uvidíme ve spodní části, která oprávnění jsou povolena a která zakázána.
Po kliknutí na Advanced můžeme blíže specifikovat oprávnění. V tomto případě bude u uživatele, který má změněné speciální oprávnění, zaškrtnuté políčko Special permission.

29.3 Cvičení

Vytvořte pokusnou složku test. Zjistěte, kteří uživatelé nebo skupiny jsou mezi autentikovanými uživateli a jak jsou nastavena defaultní oprávnění.

29.4 SID

SID - Security Identifier - unikátní číslo identifikující účet. Systém bere uživatele podle SIDu, ne podle jeho jména.
Pokud se nastaví na nějakém objektu zabezpečení - NTFS permission - pro určitého uživatele, a pak dojde ke smazání účtu tohoto uživatele a následně vytvoříme účet stejného jména, tak to bude jiný účet s jiným SID, i když jméno bude stejné. Původní oprávnění smazaného uživatele se nového uživatele nebudou týkat, protože má jiný SID.

29.5 DACL

DACL - Discretionary Access Control List - seznam účtů, kterým je povolen nějaký druh přístupu k danému zdroji.

NTFS vede pro každý soubor a složku na NTFS logické jednotce seznam všech uživatelských účtů, skupin a počítačů, kterým je povolen přístup k daným souborům a složkám.
Jak probíhá rozhodnutí, zda bude daný uživatel mít přístup ke zdroji?
Systém vybere řádky z DACL, ve kterých najde SID uživatele a řádky skupin, ve kterých je uživatel členem. Provede výpočet a podle výsledku rozhodne.

Například uživatel má přímý zákaz a zděděné povolení - výsledek: zákaz.

Všechny řádky mají stejnou váhu - ať pochází od skupin nebo patří uživateli.

29.5.1 Příklad

Ve vlastnostech souboru na kartě Security najdeme pro zvoleného uživatele u oprávnění Read prázdná obě políčka - Allow i Deny.
Výsledek: oprávnění Read nebude povoleno.
Stejný výsledek platí pro všechny uživatele, kteří tam vůbec nejsou uvedeni.

29.5.2 Příklad

Výsledek: všichni budou mít právo číst - skupina i student.

29.5.3 Příklad

Výsledek: Skupina bude mít právo číst, student ne.

29.5.4 Příklad

Výsledek: všichni budou mít zakázáno číst - skupina i student.

29.6 Dědění oprávnění

To, že je oprávnění zděděno poznáme tak, že políčko u oprávnění je zašedlé.

29.6.1 Příklad

Přímý zákaz je silnější než zděděné povolení, výsledek je zákaz čtení.

29.6.2 Příklad

Přímé povolení je silnější než zděděný zákaz, výsledek je povolení čtení.

29.7 Jak systém postupuje?

  1. Hledá přímé Deny (patřící uživateli nebo skupině, ve které je členem) - pokud najde, nastává okamžitý zákaz.
  2. Když neobjeví přímé Deny, hledá přímé Allow (patřící uživateli nebo skupině, ve které je členem). Najde-li, nastává povolení.
  3. Když nenajde přímé Deny ani přímé Allow, hledá zděděný Deny. Najde-li, dojde k zákazu oprávnění.
  4. Když nenajde přímé Deny ani přímé Allow ani zděděné Deny, hledá zděděné Allow. Najde-li, dojde k povolení.
  5. Nenajde-li nic, odepře oprávnění.
Ve skutečnosti systém neprochází DACL opakovaně. Předem si jej seřadí (nejprve přímé zákazy, pak přímá povolení, zděděné zákazy a zděděná povolení).

29.8 Oprávnění při kopírování a přesunu

Při kopírování souboru z jedné složky do druhé převezme soubor oprávnění z cílové složky.

Vytvoříme-li soubor ve složce, přebírá oprávnění z této složky.

Při přesunu souboru ze složky do složky musíme rozlišit dva stavy: přesouváme mezi logickými jednotkami nebo ne.

Při přesunu souboru mezi různými logickými jednotkami je to stejné jako u kopírování - soubor přebírá oprávnění z cílové složky.

Pozor

Při přesunu v rámci jedné logické jednotky si soubor zachovává své původní nastavení oprávnění, ale jen dočasně - do doby, než se zasáhne do DACL - pak dojde k přepočítání oprávnění (stanou se z toho cílová oprávnění).
Je na to potřeba dát pozor, na první pohled to nemusí vůbec být vidět.

29.9 Cvičení

Vytvořte dvě složky, jedné nastavte pro zvoleného uživatele oprávnění Read a druhé složce nastavete oprávnění pro tohoto uživatele na Write.

V první složce vytvořte soubor a zkontrolujte, jak se nastavilo jeho oprávnění.

Přesuňte soubor do druhé složky a zkontrolujte jeho oprávnění.
Mělo by být zachováno oprávění z první složky.
Přidejte na kartě Security dalšího uživatele a nastavte mu libovolné oprávnění (zásah do DACL).
Co se stalo s oprávněním přenášeným z první složky?

Poznámka

Pokud se na v nastavení oprávnění pro nějaký objekt nacházejí SIDy nějakých uživatelů a nezobrazují-li se jejich jména, znamená to buď smazání uživatele z Active Directory nebo nemožnost spojit se s řadičem domény, který by poskytl překlad SIDu na jméno. To je třeba zvážit před ukvapeným smazáním takového uživatele ze seznamu oprávnění.

29.10 Sdílené složky

Ve vlastnostech složky můžeme na kartě Sharing (sdílení) zapnout sdílení této složky.
Je možno zvolit jméno, pod kterým bude složka na síti vidět. Pokud zvolíme jméno končící dolarem, např. share$, bude tato složka skrytá.
Ze vzdáleného počítače se do složky dostaneme příkazem
\\jméno_serveru\share$

Zobrazit složky, které máme sdílené, můžeme příkazem net share.
Ve správě počítače - Computer Management (pravým tlačítkem klikneme na My Computer a zvolíme Manage) - můžeme najít, kam sdílené složky fyzicky vedou.

29.10.1 Mapování složky příkazem

net use písmeno složka

například

net use X: \\server\share$

29.10.2 Mapování složky přes průzkumníka

V průzkumníku vyhledáme složku v síti, klepneme na ni pravým tlačítkem a zvolíme Map Network Drive - Připojit síťovou jednotku.

29.10.3 Problémy s pravdivým zobrazením míst v síti

V síti je jeden počítač "vládce" - Master Browser - má v sobě databázi informací, co je v síti zapnuto a co je na počítačích sdíleno.
Když si dáme zobrazit místa v síti, počítač kontaktuje master browser, ten jej odkáže na záložní - backup browser a ten teprve počítači odpoví.
Na začátku při startu počítačů probíhají volby, kdo bude master browser a kdo backup browser.
Když se posléze zapne další počítač, vyvolá opětovné volby.
Vše nějakou dobu trvá, proto v danou chvíli nemusí být informace o místech v síti pravdivé.

Pokud chceme počítači nařídit, aby nevyvolával volby a aby nebyl master browser, nastavíme mu v registrech (příkaz regedit) parametry IsDomainMaster a MaintainServerList na hodnotu false.

Procházení sítí bude fungovat.

Další možnost je přímo napsat UNC cestu sdílené složky na síti, do které se chceme připojit
\\server\složka

29.11 Sdílená oprávnění

Ve vlastnostech složky je kromě karty Security, kde se nastavují NTFS permissions, také karta pro nastavení sdílení - Sharing.
Jsou tři typy sdíleného oprávnění:
  • Read - číst - přednastaveno pro skupinu Everyone - povoluje číst soubory, povoluje vidět názvy souborů a podadresářů, povoluje spouštět programy.
  • Change - měnit - zahrnuje v sobě vše, co obsahuje oprávnění Read, povoluje vytvářet soubory a podadresáře, povoluje měnit data v souborech, povoluje mazat podadresáře a soubory.
  • Full Control - plná kontrola, zahrnuje v soubě vše, co obsahují oprávnění Read a Change, i možnost měnit NTFS oprávnění
U sdíleného oprávnění nefunguje dědění jako u NTFS permissions.

Pokud je soubor umístěn v adresáři, který má sdílená oprávnění nastavena na Change, tento adresář je umístěn v adresáři, na kterém jsou nastavena sdílená oprávnění na Read, pak bude výsledné oprávnění pro soubor záležet na tom, přes který sdílený adresář budeme k souboru přes síť přistupovat.
Budeme-li k souboru přistupovat přes adresář s oprávněním Read, budeme moci soubor jen číst.
Budeme-li k souboru přistupovat přes adresář s oprávněním Change, budeme moci soubor i měnit.

29.12 Jak spolu souvisí sdílené oprávnění a NTFS permission - zabezpečení

Mezi oprávněními nastavenými na kartě sdílení a na kartě zabezpečení je vztah průniku.

Pro zjednodušení práce je vhodné nastavit sdílená oprávnění pro skupinu Everyone na Full Control a na kartě Security - zabezpečení - nastavit NTFS permissions podle potřeby.
Po průniku s plnými oprávněními z karty Sdílení bude výsledkem oprávnění nastavené na kartě Security.

Pozor

Pokud necháme ve sdíleném oprávnění prázdno, pak bude průnik s NTFS oprávněními prázdný, jakýkoliv přístup bude odepřen!

29.13 Cvičení

Vytvořte složku "trida3A", která bude sdílená v síti. Ve složce budou existovat podsložky jednotlivých studentů třídy. Tyto složky nesdílejte.
Nastavte sdílená oprávnění a NTFS permissions tak, aby každý student mohl ukládat jen do své podsložky a společnou složkou třídy mohl jen procházet.

Domácí úkol

  • Zopakujte si rozdíl mezi oprávněními a právy.
  • Jak se nastavují NTFS permissions a sdílená oprávnění?
  • Co je to DACL, jakou má přibližnou strukturu? Jak se vyhodnocuje oprávnění uživatele pro přístup k danému zdroji?
  • Jaký má vliv dědění NTFS permissions na výsledné nastavení oprávnění pro přístup k danému zdroji? Dá se dědění oprávnění zrušit?
  • Jaký je výsledek oprávnění po kopírování a přesunu objektu?
  • Co je to UNC cesta?
  • Jak lze příkazem přimapovat sdílenou složku na síti?
  • Jak spolupracují sdílená oprávnění a NTFS oprávnění?

Shrnutí

  • Víte, jak souboru nastavit NTFS oprávnění.
  • Umíte nasdílet složku, umíte ji nasdílet i pod jiným jménem, případně z ní udělat skrytou složku v síti.
  • Umíte vyhodnotit výsledek nastavení oprávnění.
  • Víte, co je DACL a jak se vyhodnocuje.
  • Umíte připojit sdílenou složku na síti.
  • Víte, jak spolupracují sdílená oprávnění a NTFS permissions.
  • Víte, jak dopadnou nastavená oprávnění při kopírování a přesunu objektu.