Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9  10  11 | Следующая страница реферата

Схема описывает все атрибуты и классы. Для каждого класса должны быть определены следующие атрибуты:

Poss-superiors – описывает структуру дерева каталогов, определяя возможных “родителей” данного класса, то есть классы, в объекты которых может быть вложен объект данного класса.

Must-Contain – список атрибутов, обязательных для заполнения.

May-Contain – список атрибутов, доступных для заполнения.

Все классы непосредственно или опосредованно через свои суперклассы наследуются от абстрактного класса top.

ПРЕДУПРЕЖДЕНИЕ Заметьте, что единожды созданный класс или атрибут невозможно удалить из схемы в дальнейшем! Microsoft объясняет такое поведение тем, что не может гарантировать отсутствия коллизий, если удаленный вроде бы класс или атрибут все еще будет использоваться в других частях распределенной системы. По той же причине невозможно удалить из класса обязательный атрибут. Набор же необязательных атрибутов можно изменять в любое время. Помните об этом во время проектирования схемы.

Добавление нового класса в схему сводится к выбору суперкласса, вводу имени нового класса, его OID-а X.500 и заполнению всех описанных выше обязательных атрибутов. Создать класс можно с помощью мастера создания нового класса утилиты “ADAM Schema”.

При добавлении атрибута необходимо ввести название нового атрибута, OID X.500, выбрать синтаксис или тип атрибута, задать интервал возможных значений и указать – является ли атрибут набором (списком) значений. Создать атрибут, как и класс, можно с помощью предусмотренного мастера создания нового атрибута в утилите “ADAM Schema”.

 

Рисунок 4. Диалоговое окно создания нового класса.

Управление пользователями и группами пользователей

Чтобы иметь возможность создавать учетные записи собственных пользователей ADAM, необходимо либо на этапе установки, либо позже с помощью утилиты Ldifde.exe, импортировать класс User, который определен в LDF-скрипте MS-User.LDF.

Для создания пользователя достаточно в “ADAM ADSI Edit” добавить новый объект класса User. После того, как новый пользователь добавлен, необходимо задать для него пароль. Утилита “ADAM ADSI Edit” позволяет сделать это из контекстного меню пользователя (пункт “Reset Password”). Поведение объекта класса User настраивается с помощью набора атрибутов. Некоторые из них:

msDS-UserAccountDisabled – если TRUE, учетная запись пользователя не активирована. Сразу после создания значение этого атрибута устанавливается в TRUE. Соответственно, для активации учетной записи нового пользователя необходимо вручную изменить значение на FALSE.

msDS-UserDontExpirePassword – если TRUE, указывает системе, что пароль данного пользователя имеет неограниченный срок действия.

msDS-UserPasswordExpired – значение TRUE данного атрибута говорит о том, что время действия текущего пароля закончилось, и требуется его смена.

Для управления правами доступа удобнее всего назначать права не напрямую пользователям, а группам пользователей. Такой алгоритм обеспечивает наиболее гибкое администрирование доступа к объектам службы каталогов. Здесь группы выступают в качестве ролей, которые определяют доступ к тем или иным частям дерева каталогов. Соответственно пользователь наследует права доступа у группы или нескольких групп, членом которых он является.

Чтобы создать группу пользователей, создается новый объект класса group. При создании надо не забыть установить значение атрибута groupType равным 2147483650 (0x80000002 в шестнадцатеричном представлении). Это значение указывает, что созданная группа является группой пользователей. За связывание пользователей с группой отвечает атрибут member класса group. “ADAM ADSI Edit” позволяет добавлять в группу как доменных пользователей, так и собственных пользователей ADAM.

Авторизация и управление правами доступа. Утилита DSACLS.EXE

Авторизация – это процесс определения, прав пользователя на доступ к объекту службы каталогов. Определение прав осуществляется на основе так называемых списков контроля доступа – Access Control List (ACLs). Утилита командной строки DSACLS.EXE позволяет просматривать и изменять права доступа пользователей и групп пользователей.

Полный список команд и ключей этой утилиты можно получить, запустив ее с ключом /?. Приведу два наиболее типичных случая применения.

Просмотр списка контроля доступа к объекту с полным именем ‘CN=MyObject1,OU=MyApp,O=MyCompany,C=RU’:

dsacls.exe "localhost:389 CN= MyObject1,OU=MyApp,O=MyCompany,C=RU"

Установка прав на чтение объекта ‘CN= MyObject1,OU=MyApp,O=MyCompany,C=RU’ и объектов его поддерева группе пользователей ‘CN=USER_GROUP,OU=MyApp,O=MyCompany,C=RU’:

Рекомендуем скачать другие рефераты по теме: bestreferat, культурология как наука.





Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9  10  11 | Следующая страница реферата