1 / 19

in115

in115. bruksrett brukeradm. problemstilling. objekter/ressurser som skal beskyttes mot misbruk brukere som har behov for tilgang til disse ressurser, som har bruksrett brukere og ressurser atskilles av tilgangskontroll. tilgangskontroll. henvendelse:

brina
Télécharger la présentation

in115

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. in115 bruksrett brukeradm

  2. problemstilling • objekter/ressurser som skal beskyttes mot misbruk • brukere som har behov for tilgang til disse ressurser, som har bruksrett • brukere og ressurser atskilles av tilgangskontroll

  3. tilgangskontroll • henvendelse: • klient K spør om å få bruke funksjon/metodeT hos objekt O – vedlegger legitimasjon • autentisering: • sjekker legitimasjon til K. • hvis autentisering feiler: returner passende feilkode • tilgangskontroll: • basert på O’s tilgangsliste • hvis K ikke har tilgang til T hos O:returner feilkode

  4. brukere • brukerkonto tildeles hver • sluttbruker som er med i produksjon • administrativt ansatt, • program • attributt • unikt navn og ID, • legitimasjonsdata • navn og legitimasjonsdata bør være hemmelig, da kontoer er utsatt for gjetningsangrep – i praksis er navn velkjent, legitimasjonsdata skjult

  5. grupper • en gruppe er en liste med brukere og andre grupper; gruppeattributt: • unikt navn og ID, tekstlig beskrivelse • legitimasjonsdata, brukskvoter, pris m.m. • en kan ikke logge seg inn som gruppe • bruksrett avgjøres delvis basert på gruppetilhørighet • tildeling og fjerning av bruksrett forenkles når en benytter grupper istedetfor mange brukere

  6. identitet • bruker og gruppe har unik ID som ikke resirkuleres: ny konto med samme navn som en tidligere fjernet konto, får ny ID • når bruker er innlogget vil hans sesjonsbestyrer ha en eieridentitet som inkluderer brukerID og alle gruppeID der han er medlem • eieridentitet bygges ved innlogging, som kan ta lang tid for brukere som er med i mange grupper • eieridentitet arves under sesjonen, benyttes av prosessene ved legitimering opp mot ulike tjenere

  7. brukerrelatert info • adresse/kontaktregister (ID, kontaktinfo) • innloggingsrelatert • brukers ”hjemmeområde” (monteres) • sesjonsbestyrer, ”profil” (utseende desktop) • ”kontopolitikk” (tid, passord, sted, utelukkelse) • innloggings/utloggings-program • ressurskvoter, prislister

  8. lokale vs sentrale konti • hver maskin har eget register med lokale brukere og grupper • en kan logge seg inn på lokal konto, • nyttig hvis domenekontroller er utilgjengelig – en får imidlertid ikke tilgang til domenets ressurser • domenekontrollers sentrale register over domenets brukere og grupper • ved innlogging autentiseres en av domenekontroller • etter innlogging har bruker tilgang til domenets ressurser

  9. maskin vs domene • maskinens domeneliste: liste over domener der maskinen er medlem (0, 1 eller flere) • maskinens administrator ber domenets administrator (ofte samme person) om tillatelse til innmelding • ved innlogging må bruker si hvilket domene han ønsker å logge seg inn på • lokalt: maskinen han sitter ved • <domenenavn>: valg fra maskinens domeneliste

  10. oversikt og kontroll • kontoer og grupper • noen opprettes automatisk, andre opprettes manuelt • innmelding av brukere i grupper skjer delvis automatisk (faste og dynamiske), delvis manuelt • ressurser • hva er tilgangslisten: Hvem får utføre de ulike funksjoner/metoder som ressursen tilbyr? • vit hva som er default tilgangsliste!!! • gi tilgang kun der det er legitimt bruksbehov, • tilgangsendring skjer helst ved å endre gruppemedlemsskap, ikke ved å endre tilgangsliste

  11. lokale automatiske brukere (w2k) • ved installeringen av os • Administrator, haralle rettigheter • Guest, installert, men ikke aktivert • LocalSystem, brukes av enkelte bakgrunnsprosesser • ved installering av tjenerprogramvare • f.eks. IUSR_<host>: opprettes ved installering av Internet Information Server (IIS) • når IIS startes, f.eks. ved boot, opprettes en prosess som får eieridentifikasjon tilsvarende IUSR_<host> • alle henvendelser som IIS skal betjene, skjer ut fra denne prosessen

  12. superbruker • er den eneste som os gir alle rettigheter • er nødvendig – installeres samtidig med os • gjør hva han vil med tildeling av bruksrett og gruppesammensetning i lokal maskin • blir medlem av lokal superbruker-gruppe • andre brukere kan etter behov innlemmes i superbrukergruppen – anbefales ikke.

  13. w2k: Superbruker er konto Administrator, gruppen er Administrators • unix: Superbruker er konto root (brukerID 0)

  14. lokale autolagede grupper (w2k) • Administrators • Power users (<Admin, >Users) • Users (vanlige brukerkonti) • Guests (anbefales ikke brukt) • ”operatører”, initielt tomme grupper • Account operator • Backup operators • Print operators • Replicator • Server operators

  15. brukere Anonymous Login Authenticated Users Dialup Interactive Batch Network Proxy Terminal Server User Restricted Everyone (alle brukere) Creator Group Creator Owner maskiner Enterprise Domain Controllers Domain Controllers Domain Computers implisitte identiterer

  16. domener • domener organiseres i et domenetre • et domene har • undersotter: maskiner og underdomener • naboer: andre domener • domenekontroller er en server som promoteres – medfører installasjon av Active Directory (AD) programvare

  17. domenegrupper • noen er autoinst. med AD • Domain Admins (G), Enterprise Admins (G/U) • Domain Comp. (G), Domain Controllers (G) • Domain Guests (G), Domain Users (G) • omfangstype avgjør medlemsmasse • universelle: fra alle domener • globale: fra samme domene

  18. capabilities (lokal, domene) • privileges: administrative funksjoner • login rights: typer login som er tillatt • built-in: administrative funksjoner administrator bestemmer hvilke grupper som skal tildeles de (100-vis) av rettigheter som w2k har definert – d.v.s. utover det som er satt opp som standard

  19. politikk, ulike former • bruker innbefattes av flere, prioritering: • site policy, unit policy: gjelder domenet • local policy – for maskin • account policy – gjelder brukerkonto • effective policy: den politikk som har blitt iverksatt etter prioritering • passord (kompleksitet, historie, endringskrav) • utelukkelse • Kerberos (gyldighet billett, klokkesynkronisering)

More Related