W│╣czanie zabezpiecze± pakietu MTS

Program MTS oferuje dwa rodzaje zabezpiecze± pakietu:

Wa┐ne Pakiety bibliotek nie obs│uguj╣ sprawdzania r≤l. W celu w│╣czenia zabezpieczenia nale┐y zmieniµ ustawienie aktywacji na pakiet serwera. WiΩcej informacji o bibliotekach i pakietach serwera mo┐na znaleƒµ pod has│em Ustawianie w│a£ciwo£ci aktywacji MTS.

Administratorzy chroni╣ pakiety za pomoc╣ zabezpieczenia deklaracyjnego, w zwi╣zku z czym mog╣ je uruchamiaµ tylko klienci z uprawnieniami dostΩpu. Prawa dostΩpu s╣ udzielane za pomoc╣ programu MTS, przy u┐yciu r≤l MTS lub kont u┐ytkownik≤w i grup systemu Windows NT. ProszΩ zauwa┐yµ, ┐e poniewa┐ zabezpieczenia deklaracyjne przy sprawdzaniu uwierzytelnie± wymagaj╣ kont systemu Windows NT, nie mo┐na ich u┐ywaµ dla pakiet≤w uruchamianych w systemie Windows 95.

Aby okre£liµ zabezpieczenie deklaracyjne pakietu, nale┐y wykonaµ nastΩpuj╣ce kroki:

  1. W oknie dialogowym Nowa rola zdefiniowaµ role na poziomie pakietu.

    Operacje dodawania nowych r≤l opisano w temacie Dodawanie nowej roli MTS.

  2. Za pomoc╣ okna dialogowego Dodaj nowych u┐ytkownik≤w do r≤l zamapowaµ u┐ytkownik≤w do r≤l. Wywo│anie pakietu bez prawid│owych u┐ytkownik≤w w jakiejkolwiek roli nie jest mo┐liwe.

    Informacje na temat dodawania u┐ytkownik≤w i grup do r≤l mo┐na znaleƒµ pod has│em Mapowanie r≤l MTS do u┐ytkownik≤w i grup.

  3. Je£li konieczne jest ograniczenie dostΩpu do konkretnego sk│adnika lub interfejsu, przypisaµ zdefiniowan╣ rolΩ do folderu "Przynale┐no£µ roli" danego sk│adnika lub interfejsu.

  4. Na karcie Zabezpieczenia na arkuszu w│a£ciwo£ci pakietu w│╣czyµ zabezpieczenia. Niniejszy temat zawiera opis w│╣czania sprawdzania upowa┐nie±.

Je£li przed w│╣czeniem zabezpieczenia pakietu systemowego nie zamapowano aktualnie u┐ywanego konta u┐ytkownika do roli administratora, to nie bΩdzie mo┐na uzyskaµ dostΩpu do funkcji programu MTS Explorer pozwalaj╣cych modyfikowaµ konfiguracjΩ (na przyk│ad dodawania u┐ytkownik≤w do r≤l). Je£li wyst╣pi taka ewentualno£µ, nale┐y zalogowaµ siΩ jako u┐ytkownik zamapowany do roli administratora. Aby uchroniµ administrator≤w przed mo┐liwo£ci╣ zablokowania przez pakiet systemowy, program MTS Explorer wy£wietla komunikaty o b│Ωdach przy ka┐dej pr≤bie:

Notka Je£li program MTS zainstalowano na serwerze, kt≤rego rolΩ okre£lono jako kontroler podstawowej lub zapasowej domeny, to pakietami mog╣ zarz╣dzaµ jedynie u┐ytkownicy bΩd╣cy administratorami domeny.

Je£li nie w│╣czono zabezpieczenia pakietu, program MTS nie bΩdzie sprawdzaµ r≤l dla sk│adnika lub interefejsu. Je£li nie w│╣czono zabezpieczenia sk│adnika, program MTS nie bΩdzie sprawdzaµ r≤l dla interfejsu sk│adnika.

ProcedurΩ przypisywania r≤l do folderu "Przynale┐no£µ r≤l" opisano w temacie Dodawanie nowej roli MTS.

Notka Wy│╣czenie zabezpieczenia deklaracyjnego pakietu lub pojedynczych sk│adnik≤w jest u┐yteczne podczas debugowania pakietu.

Rozwa┐my przyk│ad procedury ograniczenia praw dostΩpu do pakietu "Magazyn". Za│≤┐my, ┐e administrator systemu zamierza pozostawiµ dostΩp do pakietu "Inventory" tylko pracownikom dzia│u sprzeda┐y . W tym celu musi zaznaczyµ dla pakietu "Inventory" folder "Rola", klikn╣µ polecenie Nowy z menu Akcja, po czym wpisaµ nazwΩ nowej roli, na przyk│ad "Sprzeda┐". NastΩpnie powinien zaznaczyµ folder "U┐ytkownicy", jeszcze raz klikn╣µ polecenie Nowy z menu Akcja i wpisaµ nazwΩ konta grupy systemu Windows NT obejmuj╣cej pracownik≤w dzia│u sprzeda┐y. W dalszej kolejno£ci powinien dodaµ rolΩ "Sprzeda┐" do folder≤w "Przynale┐no£µ r≤l" wszystkich sk│adnik≤w. W tym momencie tylko pracownicy dzia│u sprzeda┐y bΩd╣ mieli dostΩp do pakietu "Magazyn". Ostatecznie, administrator powinien zaznaczyµ pakiet, wywo│aµ arkusz w│a£ciwo£ci, wybraµ na nim kartΩ Zabezpieczenia i zaznaczyµ pole wyboru W│╣cz sprawdzanie upowa┐nienia. Zostan╣ w≤wczas w│╣czone nowe ustawienia zabezpieczenia pakietu.

Poprawne wykonanie procedury ograniczania praw dostΩpu do sk│adnik≤w pakietu wymaga wiedzy na temat wzajemnego wywo│ywania siΩ sk│adnik≤w pakietu. Je£li sk│adnik jest wywo│ywany bezpo£rednio przez klienta podstawowego, program MTS sprawdza zwi╣zane z nim role. Je£li pewien sk│adnik wywo│uje inny sk│adnik z tego samego pakietu, program MTS nie sprawdza r≤l (w ramach tego samego pakietu obowi╣zuje bowiem "zasada wzajemnego zaufania" sk│adnik≤w).

Za│≤┐my, ┐e pewien u┐ytkownik zamierza tak skonfigurowaµ role, aby klient mia│ uprawnienia do wywo│ywania sk│adnika CheckInventory, a nie mia│ uprawnie± do bezpo£redniego wywo│ywania sk│adnika Backorder. Obydwa sk│adniki, CheckInventory i Backorder, znajduj╣ siΩ w pakiecie "Inventory". W pierwszej kolejno£ci nale┐y ustawiµ odpowiedni╣ rolΩ klienck╣ dla sk│adnika CheckInventory. NastΩpnie nale┐y upewniµ siΩ, czy sk│adnik Backorder nie posiada ┐adnych r≤l, kt≤re mog│yby odnosiµ siΩ do klienta (to┐samo£ci klienta). Poniewa┐ obydwa sk│adniki znajduj╣ siΩ we wsp≤lnym pakiecie, dlatego te┐ podczas wywo│ania sk│adnika Backorder przez sk│adnik CheckInventory nie bΩdzie wykonywane ┐adne sprawdzanie r≤l.

Tym niemniej, je£li spe│nione bΩd╣ poni┐sze warunki, sk│adnik CheckInventory mo┐e w imieniu klienta wywo│aµ sk│adnik Backorder:

Opisany wy┐ej mechanizm pozwala tworzyµ pakiety zawieraj╣ce sk│adniki "ufaj╣ce sobie nawzajem" , ograniczaj╣c jednocze£nie uprawnienia do ich wybierania.

Aby w│╣czyµ sprawdzanie r≤l dla pierwotnych obiekt≤w wywo│uj╣cych, kt≤re wywo│uj╣ sk│adnik Backorder bezpo£rednio, nale┐y zaznczyµ folder "Przynale┐no£µ r≤l" dla sk│adnika Backorder, klikn╣µ polecenie Nowy z menu Akcja, po czym wybraµ rolΩ Sprzeda┐. W ten spos≤b rola Sprzeda┐ (wraz z mapowanymi u┐ytkownikami) zostanie przypisana do sk│adnika Backorder, w zwi╣zku z czym sk│adnik Backorder bΩd╣ mogli uruchamiaµ jedynie pracownicy dzia│u sprzeda┐y. Aby uaktywniµ nowe ustawienie zabezpieczenia, nale┐y zaznaczyµ pole wyboru W│╣cz sprawdzanie upowa┐nienia zar≤wno dla pakietu "Magazyn", jak i dla sk│adnika Backorder.

WiΩcej informacji na temat sprawdzania r≤l mo┐na znaleƒµ w podrΩczniku PodrΩcznik programisty programu MTS, w podrozdziale Zabezpieczenia programowalne (ang. Programmatic Security).

Aby w│╣czyµ sprawdzanie to┐samo£ci dla zabezpieczenia:

  1. Je£li jeszcze tego nie wykonano, zamapuj swoje konto u┐ytkownika do roli Administrator pakietu systemowego.

  2. Zaznacz pakiet systemowy i kliknij polecenie Akcja z menu W│a£ciwo£ci lub menu wy£wietlanego po klikniΩciu prawym przyciskiem myszy.

  3. Przejdƒ do karty zabezpieczenia i zaznacz pole wyboru W│╣cz sprawdzanie upowa┐nienia .

  4. Zatrzymaj proces serwera pakietu systemowego, zaznaczaj╣c pakiet systemowy, klikaj╣c prawym przyciskiem myszy i wybieraj╣c polecenie Zamknij.

    Zamiast wykonywania krok≤w od 4 do 7, mo┐esz zamkn╣µ wszystkie pakiety serwera jednocze£nie. W tym celu wybierz ikonΩ M≤j Komputer, a nastΩpnie kliknij polecenie Zamknij proces serwera z menu Akcja.

  5. Zaznacz pakiet, dla kt≤rego chcesz w│╣czyµ zabezpieczenie.

  6. Przejdƒ do karty zabezpieczenia i zaznacz pole wyboru W│╣cz sprawdzanie upowa┐nienia .

  7. Zatrzymaj proces serwera pakietu systemowego, zaznaczaj╣c ten pakiet, klikaj╣c prawym przyciskiem myszy i wybieraj╣c polecenie Zamknij.

Po zainstalowaniu i skonfigurowaniu pakietu na serwerze ƒr≤d│owym rozmieszczania mo┐na uniemo┐liwiµ przysz│e zmiany konfiguracji sk│adnik≤w, blokuj╣c pakiet. WiΩcej informacji na temat blokowania konfiguracji pakietu mo┐na znaleƒµ pod has│em Blokowanie pakietu MTS.

Zobacz te┐

Pakiet "System", Folder "Role", Folder "U┐ytkownicy", Folder "Przynale┐no£µ r≤l", Zarz╣dzanie u┐ytkownikami dla r≤l MTS, PodrΩcznik programisty programu Microsoft Transaction Server

© 1998 Microsoft Corporation. Wszelkie prawa zastrze┐one.