Введение в BackOffice 2.5

Защита информации, разграничение прав доступа


Поскольку SNA Server может функционировать только на платформе Windows NT, он использует для проверки полномочий механизм защиты операционной системы. На все ресурсы сервера SNA, включая выделенные каналы доступа, пулы логических устройств, очереди печати и разделяемые папки, можно назначить права пользователям и группам доменов NT.

Для клиентских станций, поддерживающих процедуру регистрации в домене, авторизация на уровне SNA Server происходит автоматически на основе текущего секретного идентификатора пользователя, для пользователей же других операционных систем, таких как "чистые" клиенты NetWare и пользователи Unix-машин требуется непосредственный ввод имени, пароля и домена пользователя. Введенная информация верифицируется контроллером домена в котором расположен SNA Server, после чего клиенту предоставляется доступ к ресурсам согласно его полномочий.

SNA Server также поддерживает установку административных привилегий на объекты управления, что позволяет делить функции между администраторами определенных ресурсов без предоставления им полного контроля над сервером.

Формат многих протоколов SNA, в особенности протоколов эмуляции 3270/5250, не предусматривает средств шифрования, так при терминальном сеансе имена и пароли передаются в открытом виде, При прохождении такой информации через сети публичного доступа возникает серьёзная угроза перехвата конфиденциальных данных, угроза несанкционированного доступа и модификации данных. SNA Server позволяет этому воспрепятствовать.

Благодаря модульной архитектуре и наличию прикладного уровня DMOD, весь трафик между клиентом и сервером может быть зашифрован, при этом могут вводиться дополнительные уровни, реализующие альтернативные алгоритмы защиты.

Для клиентов, поддерживающих регистрацию в домене NT, возможность шифрования трафика обеспечивается автоматически, при этом имена и пароли всегда передаются в зашифрованном виде. Весь обмен информацией между серверами также может быть шифрован, что особенно актуально при передаче трафика через сети коллективного доступа, например Internet. Признак шифрования устанавливается на сервере и может назначаться поименно для каждого пользователя. Алгоритм, применяющийся при шифровке - RC4 stream cipher - разработан RSA Data Security и имеет длину ключа 40 бит. Этот же алгоритм используется Windows NT для защиты удаленных вызовов процедур.



Содержание раздела