Diritti NDS

Quando si crea un albero, le assegnazioni dei diritti di default consentono alla rete di disporre di un accesso e una sicurezza generali. Di seguito vengono riportate alcune delle assegnazioni di default disponibili:

L'utente Admin dispone del diritto di supervisore per la cima dell'albero, pertanto gode di un controllo completo dell'intera directory. Inoltre, l'amministratore dispone del diritto di Supervisore sull'oggetto Server NetWare e, di conseguenza, del controllo totale sui volumi disponibili sul server.
[Public] dispone del diritto Sfogliatura per la cima dell'albero, per cui tutti gli utenti hanno il diritto di visualizzare gli oggetti dell'albero.
Gli oggetti creati mediante un processo di upgrade, ad esempio una migrazione NetWare, un upgrade della stampa o la migrazione degli utenti Windows NT ricevono le assegnazioni di trustee appropriate alla maggior parte delle situazioni.

Assegnazioni di trustee e destinazioni

Per assegnare i diritti è necessario definire un trustee e un oggetto di destinazione. Il trustee rappresenta l'utente o l'insieme di utenti che riceve l'autorizzazione. La destinazione rappresenta le risorse di rete per le quali è concessa l'autorizzazione agli utenti.

Se un Alias viene definito come trustee, i diritti vengono applicati solo all'oggetto da esso rappresentato. Tuttavia, l'oggetto Alias può essere una destinazione esplicita.
Una destinazione può essere costituita anche da un file o da una directory del file system NetWare, sebbene i diritti sul file system non siano memorizzati in NDS, ma nello stesso file system.

Vedere "Nozioni fondamentali sull'amministrazione" nella Guida dell'utente di ConsoleOne.

Il trustee [Public] non è un oggetto, ma un trustee con funzioni specifiche. Tale trustee rappresenta un utente connesso o meno alla rete e viene utilizzato per l'assegnazione dei diritti.

Diritti NDS

La lista di concetti che segue aiuta a comprendere i diritti NDS.

Diritti su un oggetto (voce)

Quando si esegue un'assegnazione di trustee, è possibile concedere i diritti sugli oggetti e sulle proprietà. I diritti sugli oggetti consentono di manipolare l'intero oggetto, mentre quelli sulle proprietà vengono applicati solo ad alcune proprietà dell'oggetto. Un oggetto viene descritto come un diritto sulle voci in quanto rende disponibile una voce nel database di NDS.

Di seguito viene fornita una descrizione di ciascun diritto sugli oggetti disponibile.

Supervisore: include tutti i diritti sugli oggetti e su tutte le relative proprietà.
Sfogliatura: consente al trustee di visualizzare l'oggetto nell'albero. Non include il diritto di visualizzare le proprietà di un oggetto.
Creazione: viene applicato solo quando l'oggetto di destinazione è un container. Il diritto di Creazione consente al trustee di creare nuovi oggetti nel container e comprende anche il diritto di Sfogliatura.
Cancellazione: consente al trustee di cancellare la destinazione dalla directory.
Ridenominazione: consente al trustee di modificare il nome della destinazione.

Diritti sulle proprietà

ConsoleOne rende disponibili due opzioni per la gestione dei diritti sulle proprietà:

È possibile gestire tutte le proprietà contemporaneamente quando viene selezionata l'opzione [Tutti i diritti sugli attributi].
È possibile gestire una o più singole proprietà al momento in cui vengono selezionate.

Di seguito sono riportate le descrizioni per ciascun diritto di proprietà:

Supervisore: conferisce al trustee un controllo completo sulla proprietà.
Confronto: consente al trustee di confrontare il valore della proprietà con un dato valore. Questo diritto consente di eseguire una ricerca, ma è in grado di restituire solo un valore True o False e non consente al trustee di visualizzare effettivamente il valore della proprietà.
Lettura: consente al trustee di visualizzare i valori di una proprietà. Tale diritto include il diritto Confronto.
Scrittura: consente al trustee di creare, modificare e cancellare i valori di una proprietà.
Aggiungere se stesso: consente al trustee di aggiungere o rimuovere se stesso come valore di una proprietà. Tale diritto viene utilizzato solo per le proprietà che hanno come valori i nomi di oggetti, ad esempio liste di appartenenza o le liste di controllo dell'accesso (ACL).

Diritti effettivi

Sono disponibili vari metodi di assegnazione dei diritti agli utenti, ad esempio le assegnazioni di trustee esplicite, l'eredità e l'equivalenza di sicurezza. I diritti possono inoltre essere limitati dal filtro dei diritti ereditati oppure modificati o revocati da assegnazioni di trustee inferiori. Il risultato netto di tutte queste azioni (i diritti utilizzabili da un utente) è detto diritti effettivi.

I diritti effettivi di un utente su un oggetto vengono calcolati ogni volta che l'utente tenta un'azione.

Come NDS Calcola i diritti effettivi

Ogni volta che un utente tenta di accedere a una risorsa della rete, NDS calcola i diritti effettivi di tale utente sulla risorsa di destinazione mediante la seguente procedura:

NDS fornisce una lista dei trustee i cui diritti devono essere considerati nel calcolo, tra cui:
- L'utente che tenta di accedere alla risorsa di destinazione.
- Gli oggetti dei quali l'utente è l'equivalente di sicurezza.
Per ogni trustee incluso nella lista, NDS determina i diritti effettivi nel modo seguente:
1. Inizia con i diritti ereditabili posseduti dal trustee al livello più alto dell'albero.
  Controlla la proprietà Trustee di oggetto (ACL) dell'oggetto Albero per individuare eventuali voci relative al trustee. Se le eventuali voci individuate sono ereditabili, NDS utilizza i diritti specificati in tali voci come insieme iniziale di diritti effettivi per il trustee.
2. Scende di un livello nella diramazione dell'albero che contiene la risorsa di destinazione.
3. Rimuove qualsiasi diritto filtrato presente a questo livello.
  Controlla l'ACL a questo livello per individuare eventuali filtri dei diritti ereditati (IRF) corrispondenti ai tipi di diritti effettivi del trustee, ovvero i diritti sull'oggetto, su tutte le proprietà o su proprietà specifiche. Se vengono trovati, NDS rimuove dai diritti effettivi del trustee i diritti bloccati da tali IRF.
  
  Se ad esempio i diritti effettivi del trustee includono finora l'assegnazione di Write All Properties (Scrittura su tutte le proprietà), ma un IRF a questo livello blocca Write All Properties (Scrittura su tutte le proprietà), il sistema rimuove Write All Properties (Scrittura su tutte le proprietà) dai diritti effettivi del trustee.
4. Aggiunge qualsiasi diritto ereditabile assegnato a questo livello, sovrascrivendo gli altri se necessario.
  Controlla l'ACL a questo livello per individuare eventuali voci relative al trustee. Se vengono trovati e sono ereditabili, NDS copia i diritti da tali voci nei diritti effettivi del trustee, ignorando laddove opportuno.
  
  Ad esempio, se i diritti effettivi del trustee includono i diritti Creazione e Cancellazione sugli oggetti, ma nessun diritto sulle proprietà, e se l'ACL a questo livello contiene sia un'assegnazione esplicita di nessun diritto sugli oggetti che un'assegnazione del diritto di scrittura su tutte le proprietà per il trustee, il sistema sostituisce i diritti sugli oggetti del trustee esistenti (Creazione e Cancellazione) con nessun diritto e aggiunge il nuovo diritto su tutte le proprietà.
5. NDS ripete le procedure relative alla rimozione dei diritti filtrati e alla rimozione dei diritti ereditabili (descritte nei punti c e d) a ciascun livello dell'albero, inclusa la risorsa di destinazione.
6. Aggiunge i diritti non ereditabili assegnati alla risorsa di destinazione, sovrascrivendo gli altri se necessario.
  NDS usa la stessa procedura descritta in precedenza nel Passo 2d. L'insieme di diritti risultante costituisce l'insieme dei diritti effettivi per il trustee specificato.
Combina i diritti effettivi di tutti i trustee nella lista, mediante la seguente procedura:
1. NDS include qualsiasi diritto posseduto da un trustee ed esclude solo quelli che non sono posseduti da nessun trustee della lista. NDS non mescola i tipi di diritti. Ad esempio, i diritti per una specifica proprietà non vengono aggiunti ai diritti per tutte le proprietà o viceversa.
2. Aggiunge i diritti impliciti di qualsiasi diritto effettivo attuale.
  L'insieme di diritti che ne risulta costituisce i diritti effettivi dell'utente sulla risorsa di destinazione.

Esempio

L'utente GRossi tenta di accedere al volume Vol_Contab. Vedere Figura 22.

Figura 22

La procedura seguente mostra come NDS calcola i diritti effettivi di GRossi su Vol_Contab:

I trustee i cui diritti devono essere considerati nel calcolo sono GRossi, Marketing, Albero e [Public].
Ciò implica che GRossi non appartiene a nessun gruppo o ruolo e che non ha ricevuto alcuna assegnazione esplicita di equivalenze di sicurezza.
I diritti effettivi per ciascun trustee sono i seguenti:
- GRossi: nessun diritto sugli oggetti, nessun diritto su nessuna proprietà.
  L'assegnazione di nessun diritto su tutte le proprietà sul volume Vol_Contab ha la priorità sull'assegnazione sul diritto di scrittura su tutte le proprietà di Contabilità.
- Marketing: nessun diritto su nessuna proprietà
  L'assegnazione del diritto di scrittura su tutte le proprietà in corrispondenza del livello più alto dell'albero viene filtrata mediante il filtro IRF in Contabilità.
- Albero: nessun diritto
  In qualsiasi posizione nella specifica diramazione dell'albero, non viene assegnato alcun diritto su Albero.
- [Public]: diritto di Sfogliatura sugli oggetti e di Lettura su tutte le proprietà.
  Questi diritti vengono assegnati alla radice e non vengono filtrati, né ignorati in alcun punto della relativa diramazione dell'albero.
Se si combinano i diritti di tutti i trustee indicati, si ottiene quanto segue:
GRossi: diritto di Sfogliatura sugli oggetti e di Lettura su tutte le proprietà.
Aggiungendo il diritto di Confronto su tutte le proprietà, compreso nel diritto di Lettura su tutte le proprietà, si ottengono i seguenti diritti effettivi finali di GRossi su Vol_Contab:
GRossi: diritto di Sfogliatura sugli oggetti e di Lettura e Confronto su tutte le proprietà.

Blocco dei diritti effettivi

A causa del modo in cui i diritti effettivi vengono calcolati, non sempre è ovvio come impedire che particolari diritti diventino effettivi per determinati utenti senza dover ricorrere a un IRF, che blocca i diritti per tutti gli utenti.

Per bloccare determinati diritti per un utente senza utilizzare un filtro IFR, è possibile effettuare una delle seguenti operazioni:

Assicurarsi che nella risorsa di destinazione o in qualsiasi livello superiore ad essa all'interno dell'albero, tali diritti non vengano assegnati all'utente né agli oggetti dei quali l'utente è l'equivalente di sicurezza.
In caso contrario, assicurarsi che l'oggetto disponga anche di un'assegnazione che consenta di ignorare tali diritti a un livello inferiore nell'albero. Eseguire tale operazione su tutti i trustee associati all'utente a cui sono assegnati i diritti indesiderati.

Equivalenza di sicurezza

Per equivalenza di sicurezza si intende il disporre dei medesimi diritti di un altro oggetto. Se la sicurezza di un oggetto è resa uguale a quella di un altro oggetto, i diritti del secondo oggetto vengono aggiunti a quelli del primo quando il sistema calcola i diritti effettivi del primo oggetto.

Ad esempio, si supponga di voler definire l'oggetto Utente Gianni come l'equivalente di sicurezza dell'oggetto Admin. Dopo aver creato l'equivalenza di sicurezza, Gianni ha gli stessi diritti sull'albero e sul file system rispetto all'utente Admin.

Esistono tre tipi di equivalenza di sicurezza:

Esplicita: in base all'assegnazione
Automatica: in base all'appartenenza a un gruppo o a un ruolo
Implicita: equivalente a tutti i container superiori e al trustee [Public]

L'equivalenza di sicurezza può essere applicata una sola volta. Ad esempio, nell'esempio precedente, se un terzo utente viene definito come l'equivalente di sicurezza di Gianni, non sarà possibile assegnare a tale utente i diritti di amministratore.

L'equivalenza di sicurezza viene registrata in NDS nella proprietà Sicurezza uguale a dell'oggetto Utente.

Un oggetto Utente aggiunto come titolare ad un oggetto Ruolo organizzativo, diventa automaticamente l'equivalente di sicurezza dell'oggetto Ruolo organizzativo. Lo stessa procedura automatica viene eseguita quando un oggetto Utente viene definito come membro di un oggetto ruolo di gruppo.

Lista di controllo dell'accesso (ACL)

La lista di controllo dell'accesso (ACL) viene anche denominata proprietà Trustee di oggetto. Ogni volta che si esegue l'assegnazione di un trustee, questo viene aggiunto sotto forma di valore alla proprietà Trustee di oggetto (ACL) della destinazione.

Di seguito vengono indicati i motivi che rendono tale proprietà importante per la sicurezza della rete:

Il trustee di un oggetto può essere determinato da tutti gli utenti che dispongono del diritto di Supervisore o di Lettura sulla proprietà Trustee di oggetto (ACL) dell'oggetto in questione.
Gli utenti con il diritto Aggiungere se stessi sulla proprietà Trustee dell'oggetto (ACL) di un oggetto possono modificare i propri diritti su tale oggetto. Essi possono ad esempio accordare a se stessi il diritto di supervisore.

Pertanto, è opportuno assegnare con particolare attenzione i diritti Aggiungere se stessi su tutte le proprietà di un oggetto container. Tale assegnazione consente di attribuire al trustee il diritto di Supervisore sul container e su tutti i relativi oggetti, nonché su tutti gli oggetti dei container sotto l'oggetto container in questione.

Filtro dei diritti ereditati (IRF)

Il Filtro dei diritti ereditati consente di impedire che i diritti si estendano verso il basso nell'albero NDS. Per ulteriori informazioni sulla configurazione di questo filtro, vedere "Blocco dei diritti ereditabili" in "Gestione dei diritti nella Guida dell'utente di ConsoleOne.

Diritti di default per un nuovo server

Quando si installa un nuovo oggetto Server in un albero, vengono effettuate le seguenti assegnazioni di trustee:

Tabella 17.

Trustee di default	Diritti di default
Amministratore (primo server NDS nell'albero)	Diritto di supervisore sull'oggetto Albero. L'amministratore dispone del diritto di Supervisore sull'oggetto Server NetWare. Pertanto, dispone anche del diritto di Supervisore sulla directory radice del file system di qualsiasi volume presente sul server.
[Public] (primo server NDS nell'albero)	Diritto Sfogliatura sull'oggetto Albero.
Albero	L'albero dispone del diritto di Lettura sulle proprietà relative al nome del server host e alla risorsa host su tutti gli oggetti Volume. Pertanto, l'accesso al nome del volume fisico e a quello del server fisico è consentito a tutti gli oggetti.
Oggetti dei container	Diritti di lettura e scansione file su SYS: \PUBLIC. Ciò consente agli oggetti Utente del container di accedere alle utility NetWare contenute in \PUBLIC.
Oggetti Utente	Gli utenti dispongono del diritto di Supervisore sulle home directory create automaticamente per loro.

Delega dell'amministrazione

NDS consente di delegare l'amministrazione di una diramazione dell'albero e di revocare i propri diritti di gestione su tale diramazione. Tale metodo può essere utilizzato nel caso in cui per i requisiti di sicurezza speciali occorra un amministratore differente con il controllo completo sulla diramazione.

Per delegare l'amministrazione:

Concedere il diritto Supervisore sugli oggetti su un container.
Creare un filtro IRF nel container, in modo da applicare un filtro al diritto di Supervisore e a tutti gli altri diritti da bloccare.

IMPORTANTE: Se l'eventuale oggetto Utente a cui è stata delegata l'amministrazione viene cancellato, non vi saranno più oggetti con diritti in grado di gestire tale diramazione.

Per delegare l'amministrazione di specifiche proprietà NDS, quale Gestione parola d'ordine, vedere "Concessione dell'equivalenza" nella Guida dell'utente di ConsoleOne.

Per delegare l'uso di specifiche funzioni in applicazioni amministrative basate sui ruoli, vedere "Configurazione dell'amministrazione basata sul ruolo" nella Guida dell'utente di ConsoleOne.