Copy Link
Add to Bookmark
Report
2500Hz Issue 02 - 03 Jerarquia y Seguridad en Novell Netware
.--[ @_2500Hz - Underground Scene - ]------------(http://pagina.de/2500hz)--.
| |
| Titulo : Introduccion a la Jerarquia y Seguridad en Novell Netware |
| Autor : |CoDeX| |
| Fecha : 27/03/2000 |
`-----------------------------------------------------(2500hz@mixmail.com)--´
Indice:
1.- Tipos de usuarios
2.- Derechos de objeto
3.- Derechos sobre propiedades
4.- Derechos sobre el sistema de archivos
5.- Niveles de seguridad
6.- Herencia
7.- Calculo de los derechos efectivos de un objeto
8.- Bibliografia
1.- Tipos de usuarios
Durnte la instalacion de Novell Netware el primer usuario que se crea es el
"Admin" y tiene derecho de supervision sobre el arbol NDS y sobre el raiz de
todos los volumenes de todos los servidores que se monten. Este usuario no se
puede eliminar a menos que se haya creado una copia de seguridad de el (con
los mismos derechos). Es aconsejable crear siempre una copia del usuario admin
dandole los mismos derechos o determinados para evitar tener que instalar de
nuevo el paquete de Novell Netware en caso de olvidarse la clave.
Los subadministradores son usuarios que tienen derechos de supervision sobre
ramas del arbol NDS (derechos sobre contenedores) y se usan en grandes redes.
Para continuar, tenemos los operadores, que son responsables de determinados recursos
del sistema (operadores de impresora, de cola, deservicios). Un operador es un
usuario con derechos limitados cuya finalidad es aliviar el trabajo del Admin.
Luego tenemos a los usuarios normales, a los cuales se les controla el acceso a
traves de lo que se denomina "Derechos de los miembros de la lista de acceso",
es decir, que cualquier objeto que haya en la red tiene creado una lista de acceso,
que se llama ACL (Access Control List) y que controla el acceso a los objetos.
Los derechos que tiene un usuario pueden provenir de:
a) Asignacion directa
b) Pertenecer a un grupo
c) Por asignacion del contenedor
Inicialmente cuando se crea un usuario, tiene los mismos derechos que "Public",
entidad especial oculta que tiene derecho de visualizar (browser) sobre el arbol
NDS. Este "Public" NO es el directorio PUBLIC
2.- Derechos de objeto
Supervisor: se le dn todos los derechos de objeto y propiedad.
Browser: permite el objeto de dentro del rbol de directorio
Create: unicamente para contenedores. Permite crear nuevos objetos dentro del contenedor.
Delete: borrar objetos dentro del arbol.
Rename: renombrar objetos dentro del arbol.
Los usuarios normales no deben tener todos estos derechos, unicamente el de browse.
Hay 2 maneras de asignar los derechos:
a) Dando el derecho de supervision y en la lista de acceso darle control total.
b) Conceder los derechos de browse, create y delete. El resto no darselos a menos
que le hagan falta.
3.- Derechos sobre propiedades
Las propiedades de los objetos son: nombre, direccion, grupo al que pertenece, ...
Derechos:
Supervision: todos los derechos.
Write: permite cambiar las propiedades de los objetos.
Read: permite la lectura de las propiedades.
Compare: este derecho se activa automaticamente si se posee el derecho de lectura.
Permite hacer una comparacion entre dos valores de las propiedades del objeto.
Se suele utilizar para busquedas avanzadas.
Add o Delete self: cuando el usuario puede añadirse o borrarse, por ejemplo, de
la lista de acceso de un grupo. Esta implicito con el de escritura (write).
4.- Derechos sobre el sistema de archivos
Cuando se crea un usuario, tiene los derechos de lectura (R) y de busqueda de
archivos (F) sobre el directorio "Public". Los derechos se pueden asignar de
manera individual, por grupo, por contenedor y por asignaciones especiales.
Derechos: [ S R W C E M F A ]
Supervisor (S): funciona de distinta forma segun se sobre archivos o sobre
directorios. Asigna todos los derechos sobre el directorio o el archivo.
Read (R): da la posibilidad de abrir, leer y ejecutar (derecho en directorios).
Si se asignan los derechos directamente a los archivos del directorio, prevalecen
sobre el permiso del directorio. (R) sobre un archivo solo deja abrir y leer.
Write (W): sobre directorios permite abrir, leer y modificar. Sobre archivos
permite solo abrir y escribir.
Create (C): sobre directorios permite crear archivos y subdirectorios. Sobre
archivos permite recuperar archivos borrados.
Erase (E): sobre directorios permite borrar todo el directorio, son sus archivos y subdirectorios, pero si hay otro subdirectorio sobre el que no se tiene derecho
a borrar, no se borra.
Modify (M): sobre directorios permite renombrar el directorio y modificar sus
atributos, tanto de el como de los subdirectorios y archivos que cuelguen de el.
Sobre archivos permite renombrar y modificar los atributos del archivo.
File Scan (F): Sobre directorios permite ver todos los archivos del directorio y
sobre archivos permite renombrarlo y modificar sus atributos.
Access Control (A): sobre directorios, permite modificar la lista de control de
acceso y el filtro de derechos heredados.
5.- Niveles de seguridad
************************************************
** Conexion ** NDS ** Sistema de **
** Sesion de Inicio ** Objetos ** Archivos **
** -1- ** -2- ** -3- **
************************************************
En entorno Bindery la seguridad es a nivel 1 y 3.
* Restricciones de conexion:
Contraseña:
Caracteres minimos.
Cambios periodicos.
No permitir contraseñas ya usadas anteriormente.
Conexion:
Evitar que se conecten con la misma cuenta 2 usuarios desde 2 estaciones distintas.
Tiempo de conexion:
Horas a las que se puede conectar un usuario.
Espacio de disco:
Limitacion del espacio de disco duro que puede usar
Vencimiento:
Vencimiento de la cuenta. Se puede poner una fecha a partir de la cual la cuenta
dejara de ser valida.
Estacion:
Limitar desde que estacion de red se va a conectar un usuario. Solo podra
conectarse desde la especificada puesto que se toma como referencia la MAC de
la tarjeta de red de ese ordenador.
Secuencia de conexion:
Nos referimos a los guiones de entrada.
Equivalencia de seguridad:
Cuando a un usuario, grupo,... se le dan los derechos equivalentes a otro
usuario, grupo,...
Pertenencia a grupo:
Derechos sobre objetos y archivos que tenga ese grupo.
Lo ideal es que todas las restricciones esten configuradas en la plantilla de
usuario de un contenedor.
|- Objetos
* Objetos |
|- Propiedades de los Objetos
El unico caso en que un derecho sobre un objeto implica un derecho sobre un
sistema de archivos es cuando se le da el derecho de supervisor a un usuario.
6. Herencia
Hablamos de la transmision de derechos. Las propiedades individuales no son
hereditarias. La herencia funciona siempre pero podemos romperla a traves de
la IRF (Inherenteal Rights Filter), que sirve para controlar todos los derechos,
tanto en el arbol NDS como en el sistema de archivos.
Todos los archivos tienen sus propios filtros de derechos heredados. Por defecto,
los filtros no bloquean la herencia. El IRF permite que determinadas propiedades
pasen o no pasen.
7.- Calculo de los derechos efectivos de un objeto
Formas en que un usuario puede tener derechos:
- Asignacion directa
- Pertenencia a grupo
- Herencia
- Por equivalencia de seguridad
En el NDS:
Si un usuario tiene asignados derechos directamente, entonces no funcionan
los filtros de derechos heredados y prevalecen los de asignacion directa.
Si no se tienen asignados derechos, se ve los que tiene y se le plican los filtros.
***************************
* Existen derechos * NO ******** NO ***********
* asignados directamente? *------> * IRF? * ------> * DE = PA *
*************************** ******** ***********
| |
|SI |SI
| |
*********** ****************
* DE = PA * * DE = PA que *
*********** * estan en IRF *
****************
DE: Derechos Efectivos
PA: Padre
En el Sistema de Archivos:
En el caso en que esten sobre el sistema de archivos, el derecho de supervisor
(S) es heredado y no se puede bloquear mediante un filtro.
***************************
* Existe el derecho de * NO ***************** NO ******** NO ***********
* supervisor en el PA? *------>* Existen dchos *-----> * IRF? * ------> * DE = PA *
*************************** * asignados? * ******** ***********
| ***************** |
| | |
|SI |SI |SI
| | |
| *********** |
************** * DE = PA * ****************
* DE = Todos * *********** * DE = PA que *
************** * estan en IRF *
****************
8. Bibliografia
* Apuntes de clase de Novell Netware de 1º de Administracion de Sistemas Informaticos.
Curso 1998/99.
-- |CoDeX| -- - -- - -- - -- - -- - -- - -- @_2500Hz - Underground Scene -- -
-- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- - -- -