Операционные системы - статьи

         

Сеансовый Монитор


Сеансовый Монитор, с помощью которого создаются все пользовательские сеансы, использует в расширенном виде ту же концепцию, что и Монитор Обращений. Аналогично Монитору Обращений, Сеансовый Монитор является посредником между субъектом, посылающим запрос на предоставление некоторой услуги, и объектом, предоставляющим эту услугу. После идентификации субъекта, Сеансовый Монитор осуществляет проверку - удовлетворяет ли данный запрос имеющимся ограничениям, таким как тип запрашиваемой услуги (разрешена ли она), время запроса, а также локализация запроса. Такая дополнительная проверка создаваемого сеанса на соответствие заданным ограничениям позволяет клиентам легко конфигурировать стратегию защиты узлов сети (site), а также корпоративную стратегию защиты.

Любой метод создания сеансов (например такой, как telnet, ftp или login) является потенциальной услугой, которая может быть предоставлена имеющему соответствующие полномочия субъекту. Специальные услуги, доступные любому пользователю в системе, определены в базе данных идентификации и санкционирования (authentication and authorization database - A&A database). Сеансовый Монитор является шлюзом (gateway), с помощью которого создаются сеансы; основой для создания сеанса с помощью Сеансового Монитора служит информация, хранимая в базе данных A&A.

Неразвитые средства защиты файла паролей, которыми снабжены многие другие платформы UNIX, попросту перемещают пары имя_пользователя/зашифрованный_пароль, хранимые в широко известном формате, в какой-то другой файл. База данных A&A хранит зашифрованные пароли в уникальном формате, доступном только для системных вызовов, поступающих от уполномоченного администратора. Специализированный идентификационный механизм базы данных A&A позволяет отдельным пользователям иметь разные пароли для локального и удаленного доступа в дополнение к средству коммутации пользователя (switch user facility - suf). Каждая из этих возможностей может ограничиваться определенным временем и/или локализацией. В дополнение, отдельные пользователи могут иметь множество полномочий, дающих право на получение определенной услуги.



Содержание раздела