2500hz nº2:(e02a03.txt):27/03/2000 << Back To 2500hz nº 2
.--[ @_2500Hz - Underground Scene - ]------------(http://pagina.de/2500hz)--. | | | Titulo : Introduccion a la Jerarquia y Seguridad en Novell Netware | | Autor : |CoDeX| | | Fecha : 27/03/2000 | `-----------------------------------------------------(2500hz@mixmail.com)--┤ Indice: 1.- Tipos de usuarios 2.- Derechos de objeto 3.- Derechos sobre propiedades 4.- Derechos sobre el sistema de archivos 5.- Niveles de seguridad 6.- Herencia 7.- Calculo de los derechos efectivos de un objeto 8.- Bibliografia 1.- Tipos de usuarios Durnte la instalacion de Novell Netware el primer usuario que se crea es el "Admin" y tiene derecho de supervision sobre el arbol NDS y sobre el raiz de todos los volumenes de todos los servidores que se monten. Este usuario no se puede eliminar a menos que se haya creado una copia de seguridad de el (con los mismos derechos). Es aconsejable crear siempre una copia del usuario admin dandole los mismos derechos o determinados para evitar tener que instalar de nuevo el paquete de Novell Netware en caso de olvidarse la clave. Los subadministradores son usuarios que tienen derechos de supervision sobre ramas del arbol NDS (derechos sobre contenedores) y se usan en grandes redes. Para continuar, tenemos los operadores, que son responsables de determinados recursos del sistema (operadores de impresora, de cola, deservicios). Un operador es un usuario con derechos limitados cuya finalidad es aliviar el trabajo del Admin. Luego tenemos a los usuarios normales, a los cuales se les controla el acceso a traves de lo que se denomina "Derechos de los miembros de la lista de acceso", es decir, que cualquier objeto que haya en la red tiene creado una lista de acceso, que se llama ACL (Access Control List) y que controla el acceso a los objetos. Los derechos que tiene un usuario pueden provenir de: a) Asignacion directa b) Pertenecer a un grupo c) Por asignacion del contenedor Inicialmente cuando se crea un usuario, tiene los mismos derechos que "Public", entidad especial oculta que tiene derecho de visualizar (browser) sobre el arbol NDS. Este "Public" NO es el directorio PUBLIC 2.- Derechos de objeto Supervisor: se le dn todos los derechos de objeto y propiedad. Browser: permite el objeto de dentro del rbol de directorio Create: unicamente para contenedores. Permite crear nuevos objetos dentro del contenedor. Delete: borrar objetos dentro del arbol. Rename: renombrar objetos dentro del arbol. Los usuarios normales no deben tener todos estos derechos, unicamente el de browse. Hay 2 maneras de asignar los derechos: a) Dando el derecho de supervision y en la lista de acceso darle control total. b) Conceder los derechos de browse, create y delete. El resto no darselos a menos que le hagan falta. 3.- Derechos sobre propiedades Las propiedades de los objetos son: nombre, direccion, grupo al que pertenece, ... Derechos: Supervision: todos los derechos. Write: permite cambiar las propiedades de los objetos. Read: permite la lectura de las propiedades. Compare: este derecho se activa automaticamente si se posee el derecho de lectura. Permite hacer una comparacion entre dos valores de las propiedades del objeto. Se suele utilizar para busquedas avanzadas. Add o Delete self: cuando el usuario puede a±adirse o borrarse, por ejemplo, de la lista de acceso de un grupo. Esta implicito con el de escritura (write). 4.- Derechos sobre el sistema de archivos Cuando se crea un usuario, tiene los derechos de lectura (R) y de busqueda de archivos (F) sobre el directorio "Public". Los derechos se pueden asignar de manera individual, por grupo, por contenedor y por asignaciones especiales. Derechos: [ S R W C E M F A ] Supervisor (S): funciona de distinta forma segun se sobre archivos o sobre directorios. Asigna todos los derechos sobre el directorio o el archivo. Read (R): da la posibilidad de abrir, leer y ejecutar (derecho en directorios). Si se asignan los derechos directamente a los archivos del directorio, prevalecen sobre el permiso del directorio. (R) sobre un archivo solo deja abrir y leer. Write (W): sobre directorios permite abrir, leer y modificar. Sobre archivos permite solo abrir y escribir. Create (C): sobre directorios permite crear archivos y subdirectorios. Sobre archivos permite recuperar archivos borrados. Erase (E): sobre directorios permite borrar todo el directorio, son sus archivos y subdirectorios, pero si hay otro subdirectorio sobre el que no se tiene derecho a borrar, no se borra. Modify (M): sobre directorios permite renombrar el directorio y modificar sus atributos, tanto de el como de los subdirectorios y archivos que cuelguen de el. Sobre archivos permite renombrar y modificar los atributos del archivo. File Scan (F): Sobre directorios permite ver todos los archivos del directorio y sobre archivos permite renombrarlo y modificar sus atributos. Access Control (A): sobre directorios, permite modificar la lista de control de acceso y el filtro de derechos heredados. 5.- Niveles de seguridad ************************************************ ** Conexion ** NDS ** Sistema de ** ** Sesion de Inicio ** Objetos ** Archivos ** ** -1- ** -2- ** -3- ** ************************************************ En entorno Bindery la seguridad es a nivel 1 y 3. * Restricciones de conexion: Contrase±a: Caracteres minimos. Cambios periodicos. No permitir contrase±as ya usadas anteriormente. Conexion: Evitar que se conecten con la misma cuenta 2 usuarios desde 2 estaciones distintas. Tiempo de conexion: Horas a las que se puede conectar un usuario. Espacio de disco: Limitacion del espacio de disco duro que puede usar Vencimiento: Vencimiento de la cuenta. Se puede poner una fecha a partir de la cual la cuenta dejara de ser valida. Estacion: Limitar desde que estacion de red se va a conectar un usuario. Solo podra conectarse desde la especificada puesto que se toma como referencia la MAC de la tarjeta de red de ese ordenador. Secuencia de conexion: Nos referimos a los guiones de entrada. Equivalencia de seguridad: Cuando a un usuario, grupo,... se le dan los derechos equivalentes a otro usuario, grupo,... Pertenencia a grupo: Derechos sobre objetos y archivos que tenga ese grupo. Lo ideal es que todas las restricciones esten configuradas en la plantilla de usuario de un contenedor. |- Objetos * Objetos | |- Propiedades de los Objetos El unico caso en que un derecho sobre un objeto implica un derecho sobre un sistema de archivos es cuando se le da el derecho de supervisor a un usuario. 6. Herencia Hablamos de la transmision de derechos. Las propiedades individuales no son hereditarias. La herencia funciona siempre pero podemos romperla a traves de la IRF (Inherenteal Rights Filter), que sirve para controlar todos los derechos, tanto en el arbol NDS como en el sistema de archivos. Todos los archivos tienen sus propios filtros de derechos heredados. Por defecto, los filtros no bloquean la herencia. El IRF permite que determinadas propiedades pasen o no pasen. 7.- Calculo de los derechos efectivos de un objeto Formas en que un usuario puede tener derechos: - Asignacion directa - Pertenencia a grupo - Herencia - Por equivalencia de seguridad En el NDS: Si un usuario tiene asignados derechos directamente, entonces no funcionan los filtros de derechos heredados y prevalecen los de asignacion directa. Si no se tienen asignados derechos, se ve los que tiene y se le plican los filtros. *************************** * Existen derechos * NO ******** NO *********** * asignados directamente? *------> * IRF? * ------> * DE = PA * *************************** ******** *********** | | |SI |SI | | *********** **************** * DE = PA * * DE = PA que * *********** * estan en IRF * **************** DE: Derechos Efectivos PA: Padre En el Sistema de Archivos: En el caso en que esten sobre el sistema de archivos, el derecho de supervisor (S) es heredado y no se puede bloquear mediante un filtro. *************************** * Existe el derecho de * NO ***************** NO ******** NO *********** * supervisor en el PA? *------>* Existen dchos *-----> * IRF? * ------> * DE = PA * *************************** * asignados? * ******** *********** | ***************** | | | | |SI |SI |SI | | | | *********** | ************** * DE = PA * **************** * DE = Todos * *********** * DE = PA que * ************** * estan en IRF * **************** 8. Bibliografia * Apuntes de clase de Novell Netware de 1║ de Administracion de Sistemas Informaticos. Curso 1998/99. -- |CoDeX| -- - -- - -- - -- - -- - -- - -- @_2500Hz - Underground Scene -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- -