Разграничение прав доступа к информации Системы
Содержание |
Защита от несанкционированного подключения к ASB-серверу и перехвата данных
Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.
Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.
В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.
Зона локальный компьютер, т.е. собственно сервер
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона локальная сеть, т.е. сеть Вашего предприятия
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона Интернет, т.е. все остальные узлы
- Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers.
- Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess.
Защита файлов и каталогов на уровне файловой системы
Сетевые разрешения
Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000 имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.
Разрешения NTFS
Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.
В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом.
Папка | Разрешения от родительского объекта | Группы пользователей | Доступ |
ASBClient | не наследуются | Администраторы, System | полный доступ |
Локальные (под Windows Vista/2008) | только чтение | ||
AP_Admin, Programmers, AP_Users | только чтение | ||
ASBServer | не наследуются | Администраторы, System | полный доступ |
Локальные (под Windows Vista/2008) | только чтение | ||
|
наследуются | AP_Admin, Programmers, AP_Users | только чтение |
AutoPark | не наследуются | Администраторы, System | полный доступ |
Локальные (под Windows Vista/2008) | только чтение | ||
AP_Admin, Programmers | модификация | ||
AP_Users | только чтение | ||
|
наследуются |
AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_XLT_Authors | модификация |
|
наследуются | AP_DOT_Authors | модификация |
AutoParkSrv | не наследуются | Администраторы, System | полный доступ |
Локальные (под Windows Vista/2008) | только чтение | ||
AP_Admin, Programmers | только чтение | ||
Data | не наследуются | Администраторы, System | полный доступ |
Локальные (под Windows Vista/2008) | только чтение | ||
AP_Admin, Programmers | модификация |
Здесь: System (или Local System) - встроенная учетная запись под которой выполняются службы операционной системы; администраторы - встроенная локальная группа "Администраторы", в состав которой автоматически входят и администраторы домена. Внимание! Изменение описанных разрешений, в том числе изменение значения флагов наследования, может привести к непредсказуемым последствиям. Утилита "Разрешения NTFS" из папки "Восстановление настроек по умолчанию" позволяет восстановить описанные выше разрешения.
Разрешения на файлы базы данных проекта
Назначаются с помощью утилиты LIM. Согласно принадлежности текущего пользователя к той или иной группе, определяются его возможности доступа к информации. На любой файл базы данных можно определить следующие права:
Виды разрешений (прав)
- Права на чтение информации:
- S (Scan) - чтение, НО без визуального просмотра. Применяется в случаях, когда пользователь должен вводить данные или производить расчеты, требующие ПРОГРАММНОГО доступа к информации из данного файла, однако нежелателен прямой просмотр этой информации. Типичным примером является файл, содержащий тарифные ставки и оклады - информация из него может быть необходима, скажем, при вводе первичного документа, но смотреть на оклады оператору незачем.
- V (View) - визуальный просмотр. Позволяет просматривать данные файла. Назначается вместе со Scan.
- Права на изменение информации, обычно, предоставляются все три права:
- I (Insert) - вставка новых записей.
- R (Replace) - модификация имеющихся записей.
- D (Delete) - удаление записей.
- C (Clean) - очистка файла в целом. Применяется ТОЛЬКО для системных целей. НЕ ИСПОЛЬЗОВАТЬ!
- Права на доступ к архивной части файла:
- A (ArcRead) - чтение данных, находящихся в архивной части файла. Предоставляют пользователям, которым необходима информация за прошлые периоды и/или возможность изменять коды в некоторых справочниках.
- W (arcWrite) - запись данных в архивную часть файла. Предоставляют пользователю, который выполняет процедуру разделения файлов.
Работа с утилитой LIM
Основные клавиши управления:
- "Стрелки" - перемещение по текущему списку
- Tab - перемещение между элементами окна
- Enter - выбор текущей строки списка и/или текущей управляющей кнопки - переход на следующий уровень
- Esc - отмена/закрытие текущего окна - переход на предыдущий уровень
- Ins - вставка в текущий список новых элементов
- F12 - установка "метки" в списке.
Типичные процедуры:
- Просмотр информации о том, в какие группы файлов входит какой-либо конкретный файл:
- Выбрать пункт главного меню - "Информация о файлах"
- С помощью стрелок и/или набором имени найти нужный файл.
- Смотреть имена групп файлов, отображенные справа.
- С помощью клавиши Esc "подняться" до главного меню
- Включение конкретного файла в конкретную группу файлов:
- Выбрать пункт главного меню - "Группы файлов"
- С помощью стрелок и/или набором имени найти нужную группу файлов и выбрать ее
- В раскрывшемся окне "Члены группы файлов" нажать Ins или выбрать кнопку "Добавить"
- С помощью стрелок и/или набором имени найти нужный файл и выбрать его с помощью клавиши Enter
- С помощью клавиши Esc "подняться" до главного меню.
Стандартные группы файлов
- USERS_MV Общие (модификация). Должна включать файлы SES, SYSLOGA, SYSLOGD, SYSLOG_, USER, lsStore
- USERS_SV Общие (просмотр). Должна включать файлы Calendar, Firm, FirmPro, Man, ManPro, MathEAN, Month, MyFirm, OwnDPro, OwnData, OwnDataH, Pool, PoolVal, Property
Группе пользователей AP_Users необходимо назначить права SVIRD на группу файлов USERS_MV, права SV на группу USERS_SV, права S на файл SYSLOG
Сокрытие части отчетов
Часть отчетов (файлы *.rep), которые должны быть доступны для изготовления и просмотра только ограниченному кругу пользователей (обычно, это зарплатные формы - справки, расчетные листы и т.п.) можно скрыть следующим образом:
- Создать папку на сервере C:\AutoPark\SRP (где SRP - сокращение SecretRePorts), внутри нее подпапку $$ для непериодических форм.
- Группу пользователей AP_Users лишить прав на папку C:\AutoPark\SRP.
- Группам пользователей, которым разрешено видеть скрытые отчеты, дать права на C:\AutoPark\SRP.
- В файле <ИмяПроекта>.red настроить путь к отчетам, просмотр которых должен быть ограничен, на папку SRP. Пример:
AvPay21_??.rep = rep\$$
AvPay22_??.rep = rep\$$
AvPay04_??.rep = rep\$$
AvPay??_??.rep = srp\$$
_??_????.rep = srp
slp_????.rep = srp
sal_????.rep = srp
psts*_??.rep = srp\$$
pats*_??.rep = srp\$$
money_??.rep = srp\$$
pdday_??.rep = srp\$$
pdoc*_??.rep = srp\$$
_??.rep = rep\$$
_??01.rep = rep\01
и т.д....
- Уже имеющиеся готовые отчеты, просмотр которых должен быть ограничен, перенести в папку C:\AutoPark\SRP (ненужные, из rep\$$ можно удалить).