Безопасность на уровне ресурсов и на уровне пользователей

Безопасность в одноранговых сетях

Администрирование одноранговых сетей

В одноранговых сетях администрирование пользователей и ресурсов децентрализо­вано. Каждый компьютер сети может быть как клиентом» так и сервером. Другими словами, каждый компьютер сети может предоставлять свои ресурсы другим компью­терам и получать доступ к ресурсам других.

Пользователь каждого компьютера полностью отвечает за управление доступом к своим ресурсам: он создает учетные записи пользователей, создает разделяемые ресурсы и при­сваивает права доступа к этим ресурсам. Каждый пользователь отвечает также за резервное копирование данных на своем компьютере. К сожалению, если одноранговая сеть содер­жит несколько компьютеров, то найти в ней нужные ресурсы довольно трудно.

В одноранговых сетях нет центральной базы данных, в которой хранилась бы реги­страционная информация пользователей. Все средства обеспечения безопасности в этих сетях локальны. Учетные записи и пароли пользователей создаются и поддержи­ваются на каждом компьютере. Это довольно неудобно, к тому же менее безопасно, чем в централизованной модели безопасности, используемой в сетях клиент/сервер.

Допустим, рабочая группа состоит из четырех компьютеров с операционными сис­темами Windows NT Workstation, принадлежащих Мэри, Джо, Джону и Джейн. Чтобы Мэри получила доступ к файлам, хранящимся на компьютере Джо, он должен создать для нее учетную запись на своем компьютере. Если Мэри хочет получить доступ к разделяемому принтеру, установленному на компьютере Джейн, то Джейн должна создать учетную запись пользователя для Мэри и т.д.

Если Джо, Джейн и Джон присвоят этим учетным записям разные имена пользовате­лей и пароли, то Мэри вынуждена будет помнить, что для доступа к ресурсам Джо, на­пример, нужно использовать имя maryjohnson и пароль tree, для доступа к ресурсам Джейн — имя maryj и пароль Shelton, для доступа к ресурсам Джона — имя mjohnson и па­роль flute. Можете себе представить, как это выглядит, если в сети больше 10 компьютеров!

В рабочих группах Windows for Workgroups и Windows 95/98 средства безопасности реализованы не на уровне пользователей, а на уровне ресурсов. В табл. 2.2 приведены основные отличия между этими уровнями безопасности.

Вернемся к примеру небольшой рабочей группы. Если на компьютерах Мэри, Джо, Джейн и Джона установлена Windows 95, то им не нужно создавать учетные за­писи пользователей для каждого, кто будет получать доступ к их ресурсам. Все, что им нужно сделать, — это присвоить пароль каждому своему разделяемому ресурсу. Если Мэри хочет, чтобы к папке Documents имела доступ Джейн, но не Джон или кто-либо еще, то она должна присвоить этой папке пароль (например, health) и сообщить его только Джейн. При попытке обратиться к папке Documents система спросит пароль, который знает только Джейн.

Если Мэри хочет, чтобы к другой ее папке Pix имели доступ Джон и Джейн, но не Джо, то она должна присвоить этой папке другой пароль (например, crate) и сообщить его только Джону и Джейн.

Допустим, на диске Мэри расположены 20 совместно используемых папок. В этом случае ей придется помнить 20 разных паролей. Другим пользователям тоже придется помнить немалое количество паролей, причем нужно будет постоянно следить за со­ответствием паролей и папок. Если же количество компьютеров такой сети превысит 10, то работать в ней будет невозможно. Система безопасности на уровне ресурсов показана на рис. 2.7.

Поскольку при увеличении размеров сети такая ситуация быстро становится невы­носимой, большинство пользователей рабочих групп Windows прибегают к про­стейшему решению — вообще не присваивают ресурсам пароли. Естественно, для се­ти с дорогими или конфиденциальными данными, доступ к которым должен быть ог­раничен, такое решение неприемлемо. В этом случае следует использовать сеть клиент/сервер.