Red Hat Enterprise Linux 4: Введение в системное администрирование | ||
---|---|---|
Назад | Глава 6. Управление учётными записями пользователей и доступом к ресурсам | Вперёд |
Создание учётных записей пользователей — это только часть работы системного администратора. Не менее важная задача — управление ресурсами пользователей. Поэтому необходимо рассмотреть следующие вопросы:
Кому разрешён доступ к общим данным?
Куда пользователи обращаются за этими данными?
Каким образом предотвращается нецелевое использование ресурсов?
Эти вопросы будут кратко рассмотрены в следующих разделах.
Доступ пользователя к конкретному приложению, файлу или каталогу определяется разрешениями, заданными для этого ресурса.
Кроме того, часто полезно иметь возможность назначать разные разрешения разным классам пользователей. Например, в общем временном хранилище стоит предотвратить случайное (или злонамеренное) удаление файлов пользователя другими пользователями, и при этом разрешить владельцу файла общий доступ.
Другой пример — доступ к домашнему каталогу пользователя. Создание или просмотр файлов в домашнем каталоге должен быть разрешён только его владельцу. Другим пользователям доступ должен быть запрещён (если только владелец каталога не захочет обратного). Это помогает сохранять данные пользователя в секрете и предотвращает хищение личных файлов.
Но очень часто бывает, что нескольким пользователям требуется доступ к одному ресурсу компьютера. В таких случаях может возникнуть необходимость в создании соответствующих общих групп.
Как было сказано во введении, группы — это логические конструкции, с помощью которых можно объединить учётные записи пользователей для какой-то определённой цели.
Управляя пользователями в организации, рекомендуется определить, какие данные должны быть доступны конкретным отделам, какие данные должны быть закрыты для других и какие данные должны быть доступны всем. Это поможет создать подходящую структуру групп и соответствующим образом распределить доступ к общим данным.
Например, предположим, что отдел, обрабатывающий поступающие счета, должен вести список счётов, не оплаченных вовремя. Этот список также должен быть доступен отделу по работе с задолженностью. Если сотрудники и отдела обработки поступающих счетов, и отдела по работе с задолженностью являются членами группы accounts, этот список можно поместить в общий каталог (владельцем которого будет группа accounts) и разрешить в нём этой группе чтение и запись.
Когда системные администраторы начинают создавать общие группы, перед ними встают разные вопросы, в частности:
Какие группы создавать?
Кого включить в конкретную группу?
Какие разрешения должны быть назначены для заданных общих ресурсов?
Ответить на эти вопросы поможет здравый смысл. Во-первых, создавая группы можно отразить структуру вашей организации. Например, если у вас есть финансовый отдел, создайте группу finance и включите в эту группу всех сотрудников данного отдела. Если финансовая информация не должна быть доступна всей компании, но руководство организации должно иметь к ней доступ, разрешите ему доступ к файлам и каталогам финансового отдела, добавив всех руководителей в группу finance.
Разрешая пользователям доступ, следует проявлять осмотрительность, чтобы важная информация случайно не попала в чужие руки.
Подходя к созданию структуры групп организации таким образом, можно безопасно и эффективно удовлетворить требования к предоставлению совместного доступа к данным.
Для организации доступа пользователей к общим данным обычно используется центральный сервер или группа серверов, которые предоставляют определённые каталоги другим компьютерам в сети. Это позволяет хранить данные в одном месте, синхронизация данных между разными компьютерами не нужна.
Прежде чем внедрить это на практике, вы должны определить, какие компьютеры будут обращаться к централизованным данным. Для этого следует учесть, какие операционные системы работают на ваших компьютерах. Это может повлиять на практическую реализацию данного подхода, так как ваш сервер хранения должен быть способен предоставлять данные всем операционным системам, используемым в вашей организации.
К сожалению, если данные совместно используется несколькими компьютерами в сети, это может приводить к конфликтам владения файлами.
Централизованное хранение данных и доступ к ним по сети нескольких компьютеров имеет свои преимущества. Однако, предположим на минуту, что на каждом из этих компьютеров есть локальный список учётных записей пользователей. Как всё это будет работать, если список пользователей на отдельных компьютерах не будет совпадать со списком пользователей на центральном сервере? Или эти списки пользователей на разных компьютерах вообще не будут соответствовать друг другу?
Во многом это зависит от того, как в каждой системе реализованы пользователи и права доступа, но в некоторых случаях возможно, что пользователь A в одной системе окажется пользователем B в другой. Это становится настоящей проблемой, когда эти системы совместно используют данные, так как данные, которые разрешено прочитать пользователю A одной системы, также будут доступны пользователю B другой системы.
Поэтому во многих организациях используется централизованная база данных пользователей, которая позволяет решить проблему пересечения списков пользователей в разных системах.
Ещё один вопрос, возникающий перед системными администраторами — хранить ли домашние каталоги пользователей централизованно.
Основное преимущество централизованного хранения домашних каталогов на сетевом сервере состоит в том, что пользователь может обращаться к файлам в своём домашнем каталоге с любого компьютера в сети.
Но у этого подхода есть и недостаток — если работа сети будет нарушена, все пользователи потеряют доступ к своим файлам. В некоторых ситуациях (например, если в организации широко используются ноутбуки), иметь централизованные домашние каталоги может быть нежелательно. Но если это имеет смысл в вашей организации, развёртывание централизованных домашних каталогов может сильно упростить жизнь системного администратора.
Самое основное, что может сделать системный администратор для предотвращения нецелевого использования ресурсов пользователями — тщательно продумать организацию групп и осмотрительно распределять доступ к ресурсам. Таким образом, те, кто не должен иметь доступа к важным ресурсам, его не получат.
Но вне зависимости от того, как работает ваша организация, лучшая защита от злоупотребления ресурсами — постоянная бдительность системного администратора. Часто единственный способ избежать неприятного сюрприза, который может ожидать вас на рабочем месте в одно прекрасное утро — всегда быть начеку.