Полномочия на доступ к файлам

Одной из ключевых функций программного обеспечения NFS при передаче файлов между NT и UNIX является сохранение полномочий на доступ к шлам. Это может оказаться довольно сложным, т. к. NTFS для NT (файловая система NT) поддерживает более высокую степень контроля доступа, чем это возможно для UNIX.

Полномочия в Windows NT

Для NTFS Windows NT каждый файл и директорий находятся в распоряжении одного учетного номера. Владелец этого учетного номера является единственным, кто владеет правом доступа к нему, его модификации и защите от внешнего доступа. По умолчанию владельцем является пользователь, который создал этот ресурс.

Исключением является пользователь, который входит в группу Администратора, для которой все пользователи являются совладельцами любого ресурса, создаваемого любым членом группы.

В дополнение к полномочиям каждый файл и директорий имеет по крайней мере один вход к списку контроля доступа (ACL - Access control list), который определяет доступ одного пользователя или группы к файлу или директорию. С помощью использования многочисленных ACL вы имеете значительную степень контроля над тем, кто и к чему имеет доступ.

Полномочия пользователя Windows NT

Владелец файла или директория может предоставить пользователю следующие типы доступа:

Уровень доступаПредмет доступа
Описание
Нет доступадиректорий или файлПользователь при использовании любых средств не может обратиться ни к файлу, ни к директорию
Списоктолько директорийПользователь может просматривать содержимое директория, но не может получить доступ к этому содержимому
Чтениедиректорий или файлПользователь может читать файлы или выполняемые программы, но не может никаким образом модифицировать их
ДобавлениедиректорийПользователь может писать файлы в директорий, но не может просматривать или читать его содержимое
Добавление и чтениедиректорий или файлПользователь может просматривать, читать и сохранять новые файлы, но не может изменять существующие
Изменениедиректорий или файлПользователь может просматривать, читать, выполнять или сохранять новые файлы, модифицировать или удалять существующие, изменять атрибуты файлов, или удалять директорий
Полный контрольдиректорий или файлПользователь может читать, выполнять, модифицировать, удалять, изменять полномочия, или отбирать право собственности от текущего владельца
Специальный доступдиректорий или файлПредоставляет владельцу или любому пользователю, обладающему полномочием "Р", право специально настраивать элементы контроля доступа для ACL

Групповые полномочия для Windows NT

Windows NT содержит два типа групп - локальные и встроенные. Локальные группы (local groups) используются для назначения прав и полномочий на локальные системы и ресурсы. Они определяются пользователями и используются для назначения полномочий на доступ к файлам и директориям. Встроенные группы (built-in groups) разработаны для системного управления. Они являются предопределенными, имеют предварительно назначенные права и нацелены на системное управление. Оба типа групп могут включать локальных, доменных и глобальных пользователей. Для доверительных доменов каждый тип группы может также содержать пользователей и глобальные группы.

Полномочия на доступ к директориям Windows NT
Уровень
Чтение
(г)
Выполнение
(x)
Запись
(w)
Удаление
(d)
Изменение полномочий
(p)
Отнятие права собственности
(o)
Нет никакого доступа
-
-
-
-
-
-
Список
+
+
-
-
-
-
Чтение
+
+
-
-
-
-
Добавление
+
+
-
-
-
-
Добавление и чтение
+
+
+
+
-
-
Изменение
+
+
+
+
-
-
Полный контроль
+
+
+
+
+
+
Специальный доступ (любая комбинация)
+
+
+
+
+
+

Полномочия на доступ к файлам для Windows NT
Уровень
Чтение
(г)
Выполнение
(x)
Запись
(w)
Удаление
(d)
Изменение полномочий
(p)
Отнятие права собственности
(o)
Нет никакого доступа
-
-
-
-
-
-
Чтение
+
+
-
-
-
-
Добавление и чтение
+
+
-
-
-
-
Изменение
+
+
+
+
-
-
Полный контроль
+
+
+
+
+
+
Специальный доступ (любая комбинация)
+
+
+
+
+
+

Полномочия в UNIX

В UNIX имеется три категории разрешений на доступ к файлам и директориям: user, group и other (известное также как world). Каждая категория устанавливается так, чтобы разрешить или не блокировать привилегии чтения (г), записи (w) и выполнения (х). Системы UNIX хранят также цифровые идентификаторы владельца (UID) и группы (GID) для каждого файла и директория. Совместно полномочия на доступ и идентификаторы определяют доступ пользователя к файлу или директорию.

Полномочия UN IX также определяют тип файла. Например даже если файл является реально выполняемым, он не может быть запущен, если не установлен флаг выполнения (х).

Владелец файла или директория может предоставить следующие типы доступа к самим себе (owner), своим группам (group) или еще кому-либо (other или world):

Уровень доступаПредмет доступа
Описание
Чтениедиректорий или файлПользователь может читать файл или просматривать содержимое директорий
Записьдиректорий или файлПользователь может модифицировать или удалять файл или директорий. Он может также создать новые файлы или директории
Выполнениедиректорий или файлПользователь может перейти в директорий или запустить файл

Владельцы, как правило, имеют доступ rwx, в то время как доступы group ли world - ограничены. Однако владелец файла может изменить это по своему желанию.

Полномочия на доступ к файлам в UNIX

Полномочия пользователя определяют доступ для владельца файла. Каждый пользователь имеет различный UID. Когда пользователь сохраняет файл в NFX, система UNIX автоматически сохраняет UID в элементе директория файла, подобно элементу директория для файлов в файловых системах NTFS или FAT. Каждый пользователь, который обращается к файлу с тем же UID, получает полномочия по доступу пользователя.

Групповые полномочия UNIX

Групповые полномочия определяют доступ для всех пользователей, которые принадлежат к одной группе. Пользователь может быть членом нескольких групп; однако в любой момент времени "активна" только одна из них. Каждая группа имеет уникальный идентификатор GID. Аналогично полномочиям пользователя, когда пользователь сохраняет файл в NFS, система UNIX сохраняет GID текущей пользовательской группы в элементе директория файла. Каждый пользователь, обращающийся к файлу с тем же GID, получает полномочия на групповой доступ.

Отображение файлов

Когда вы передаете файлы между UNIX и NT, используя NFS, полномочия на доступ к файлам должны быть отображены в их эквиваленты на каждой системе. Первым шагом является идентификация личности пользователя. Программное обеспечение NFS пытается транслировать регистрационный идентификатор ID пользователя в эквивалентный регистрационный идентификатор ID на другой системе. Если NFS не может транслировать регистрационный ID, то следующим шагом будет использование трансляционной таблицы. Если трансляции нет, то программное обеспечение NFS может либо назначить ID либо завершить соединение.

Продукты NT NFS, такие как HUMMINGBIRD Communication NFS Maestro и Net Manage's Chameleon≥ NFS/X, управляют отображением приблизительно так же.

Например, когда пользователь NT обращается к файловой системе UNIX через NFS, процесс идентификации может использовать специальный демон системы UNIX, который пытается передать регистрационный ID от NT регистрационному имени UNIX. Если демон не может транслировать регистрационный ID, то продукт NFS использует вместо этого трансляционную таблицу UID/GID. Если ни одно преобразование не доступно, то программное обеспечение NFS может либо назначить ID, либо завершить соединение.

Большинство продуктов NFS в NT устанавливает таблицу преобразования. Обычно она должна быть установлена до использования программного обеспечения NFS.

Когда пользователь UNIX создает файл под NTFS, программное обеспечение NFS часто использует флаги полномочий специального доступа NTFS, а не стандартные типы доступа (Добавление, Полный контроль и т. д.). Это позволяет NFS назначать соответствующий доступ к файлам. Например, под UNIX полномочие на запись подразумевает также и полномочие на удаление. В зависимости от того, какой продукт NFS NT вы выбираете, программное обеспечение может установить набор флагов Special Access (специальный доступ) и на запись, и на удаление.

Полномочия для пользователя, группы и другие полномочия на доступ в UNIX непосредственно отображаются на три компонента ACL Windows NT для файла NTFS. Эта связь показана в табл:

Эквивалентные полномочия для доступа к файлам UNIX и NT
Полномочия UNIX
Windows NT ACL
ownerполномочия пользователя
groupгрупповые полномочия групповые
other (или world)полномочия каждому

Отображение файлов управляется по-разному для различных продуктов NT NFS. Когда вы посмотрите на продукты NT NFS, у вас может возникнуть желание получить ответы на следующие вопросы:

  • Как программное обеспечение управляет специальными полномочиями на доступ к файлу и директорию вместо полномочий NTFS, установленных по умолчанию?
  • Как программное обеспечение управляет отображением системного идентификатора SID между пользователями и группами NT и эквивалентных UID и GID на UNIX?
  • Как программное обеспечение справляется с различиями в именах для UNIX и NT?





  • Наш баннер
    Вы можете установить наш баннер на своем сайте или блоге, скопировав этот код:
    RSS новости