29.02.2000 НовостиБЕЗОПАСНОСТЬКомпания Novell (www.novell.com), имеющая давний опыт работы со службой каталога, обнаружила прореху в системе безопасности, предоставляемой новорожденной службой каталога Microsoft Active Directory.Суть проблемы состоит в следующем. В некоторых случаях бывает необходимо ограничить права администратора организации на доступ к информации, имеющейся в том или ином подразделении, например в бухгалтерии, передав их локальному администратору отдела. При этом система безопасности не должна допускать пользователя, имеющего права администратора организации, к информации отдела; плюс к этому должна быть исключена возможность получения им таких прав в результате его целенаправленных действий. Необходимо заметить, что администратор организации по умолчанию имеет так называемые наследуемые права во всех подразделениях, поэтому для обеспечения конфиденциальности эти права нужно ограничить с помощью “фильтра наследуемых прав”, причем никакие действия администратора не должны приводить к их восстановлению.Казалось бы, так и должно происходить. Но только не в модели безопасности, реализованной в Active Directory.Если администратору организации полностью запретить доступ к объекту Подразделение, то он не будет иметь не только прав поменять в нем что-либо, но даже и не увидит ничего. Однако лишь в том случае, если он пойдет напрямую.По заявлению Novell, если перед тем как отправляться по Active Directory в бухгалтерию, он заглянет, например, в производственный отдел, в котором ...
читать далее.
