Безопасность DFS. Создание сеанса. Списки управления доступом.
Помимо создания необходимых административных привилегий, служба DFS не пользуется никакими дополнительными средствами обеспечения безопасности. Обращение к информации посредством логического имени DFS целиком зависит от наличия прав доступа к связанному с ним общему ресурсу у обратившегося пользователя. Права доступа определяются списками управления доступом, о которых говорится ниже.
Права доступа не имеют отношения к структуре дерева DFS. Например, пользователи могут иметь необходимые права, позволяющие им обращаться к данным связанным с дочерним логическим именем DFS, не имея доступа к информации, связанной с родительским логическим именем.
Создание сеанса
При первом пересечении каждого перехода распределенной файловой системы и его кэшировании клиент, ориентированный на работу с DFS, создает сеанс с сервером, находящимся на противоположной стороне перехода, В процессе установления соединения выполняется аутентификация пользователя, обратившегося к данным. Для этого нужна информация входа, сообщенная им при подключении к DFS.
Если подобная информация неизвестна, то для создания сеанса будут взяты данные, введенные пользователем при регистрации в рабочей станции.
Списки управления доступом
Списки управления доступом (ACL) определяют права доступа пользователей к общим ресурсам сети. Их администрирование выполняется на уровне физического общего ресурса. По ряду причин система безопасности, основанная на едином списке управления доступом, администрирование которого выполнялось бы от корня DFS в масштабах всей системы, не была бы эффективна. Пользователи могут обойти централизованную логическую базу списков управления доступом, выполнив команду net use.
Кроме того, логическое имя DFS может быть связано с несколькими общими ресурсами, часть которых находится в разделе FAT, а другие – в NTFS, а также в иных сетевых операционных системах. Невозможно создать ACL, начинающийся на томе NTFS, продолжающийся на томе FAT, возвращающийся на том NTFS и заканчивающийся на томе NetWare. Эти и другие факторы делают предпочтительным использование списков управления доступом, определяющих политику обращения к конкретному общему ресурсу, а не ко всему дереву DFS в целом.