Włączanie zabezpieczeń pakietu MTS

Program MTS oferuje dwa rodzaje zabezpieczeń pakietu:

Ważne Pakiety bibliotek nie obsługują sprawdzania ról. W celu włączenia zabezpieczenia należy zmienić ustawienie aktywacji na pakiet serwera. Więcej informacji o bibliotekach i pakietach serwera można znaleźć pod hasłem Ustawianie właściwości aktywacji MTS.

Administratorzy chronią pakiety za pomocą zabezpieczenia deklaracyjnego, w związku z czym mogą je uruchamiać tylko klienci z uprawnieniami dostępu. Prawa dostępu są udzielane za pomocą programu MTS, przy użyciu ról MTS lub kont użytkowników i grup systemu Windows NT. Proszę zauważyć, że ponieważ zabezpieczenia deklaracyjne przy sprawdzaniu uwierzytelnień wymagają kont systemu Windows NT, nie można ich używać dla pakietów uruchamianych w systemie Windows 95.

Aby określić zabezpieczenie deklaracyjne pakietu, należy wykonać następujące kroki:

  1. W oknie dialogowym Nowa rola zdefiniować role na poziomie pakietu.

    Operacje dodawania nowych ról opisano w temacie Dodawanie nowej roli MTS.

  2. Za pomocą okna dialogowego Dodaj nowych użytkowników do ról zamapować użytkowników do ról. Wywołanie pakietu bez prawidłowych użytkowników w jakiejkolwiek roli nie jest możliwe.

    Informacje na temat dodawania użytkowników i grup do ról można znaleźć pod hasłem Mapowanie ról MTS do użytkowników i grup.

  3. Jeśli konieczne jest ograniczenie dostępu do konkretnego składnika lub interfejsu, przypisać zdefiniowaną rolę do folderu "Przynależność roli" danego składnika lub interfejsu.

  4. Na karcie Zabezpieczenia na arkuszu właściwości pakietu włączyć zabezpieczenia. Niniejszy temat zawiera opis włączania sprawdzania upoważnień.

Jeśli przed włączeniem zabezpieczenia pakietu systemowego nie zamapowano aktualnie używanego konta użytkownika do roli administratora, to nie będzie można uzyskać dostępu do funkcji programu MTS Explorer pozwalających modyfikować konfigurację (na przykład dodawania użytkowników do ról). Jeśli wystąpi taka ewentualność, należy zalogować się jako użytkownik zamapowany do roli administratora. Aby uchronić administratorów przed możliwością zablokowania przez pakiet systemowy, program MTS Explorer wyświetla komunikaty o błędach przy każdej próbie:

Notka Jeśli program MTS zainstalowano na serwerze, którego rolę określono jako kontroler podstawowej lub zapasowej domeny, to pakietami mogą zarządzać jedynie użytkownicy będący administratorami domeny.

Jeśli nie włączono zabezpieczenia pakietu, program MTS nie będzie sprawdzać ról dla składnika lub interefejsu. Jeśli nie włączono zabezpieczenia składnika, program MTS nie będzie sprawdzać ról dla interfejsu składnika.

Procedurę przypisywania ról do folderu "Przynależność ról" opisano w temacie Dodawanie nowej roli MTS.

Notka Wyłączenie zabezpieczenia deklaracyjnego pakietu lub pojedynczych składników jest użyteczne podczas debugowania pakietu.

Rozważmy przykład procedury ograniczenia praw dostępu do pakietu "Magazyn". Załóżmy, że administrator systemu zamierza pozostawić dostęp do pakietu "Inventory" tylko pracownikom działu sprzedaży . W tym celu musi zaznaczyć dla pakietu "Inventory" folder "Rola", kliknąć polecenie Nowy z menu Akcja, po czym wpisać nazwę nowej roli, na przykład "Sprzedaż". Następnie powinien zaznaczyć folder "Użytkownicy", jeszcze raz kliknąć polecenie Nowy z menu Akcja i wpisać nazwę konta grupy systemu Windows NT obejmującej pracowników działu sprzedaży. W dalszej kolejności powinien dodać rolę "Sprzedaż" do folderów "Przynależność ról" wszystkich składników. W tym momencie tylko pracownicy działu sprzedaży będą mieli dostęp do pakietu "Magazyn". Ostatecznie, administrator powinien zaznaczyć pakiet, wywołać arkusz właściwości, wybrać na nim kartę Zabezpieczenia i zaznaczyć pole wyboru Włącz sprawdzanie upoważnienia. Zostaną wówczas włączone nowe ustawienia zabezpieczenia pakietu.

Poprawne wykonanie procedury ograniczania praw dostępu do składników pakietu wymaga wiedzy na temat wzajemnego wywoływania się składników pakietu. Jeśli składnik jest wywoływany bezpośrednio przez klienta podstawowego, program MTS sprawdza związane z nim role. Jeśli pewien składnik wywołuje inny składnik z tego samego pakietu, program MTS nie sprawdza ról (w ramach tego samego pakietu obowiązuje bowiem "zasada wzajemnego zaufania" składników).

Załóżmy, że pewien użytkownik zamierza tak skonfigurować role, aby klient miał uprawnienia do wywoływania składnika CheckInventory, a nie miał uprawnień do bezpośredniego wywoływania składnika Backorder. Obydwa składniki, CheckInventory i Backorder, znajdują się w pakiecie "Inventory". W pierwszej kolejności należy ustawić odpowiednią rolę kliencką dla składnika CheckInventory. Następnie należy upewnić się, czy składnik Backorder nie posiada żadnych ról, które mogłyby odnosić się do klienta (tożsamości klienta). Ponieważ obydwa składniki znajdują się we wspólnym pakiecie, dlatego też podczas wywołania składnika Backorder przez składnik CheckInventory nie będzie wykonywane żadne sprawdzanie ról.

Tym niemniej, jeśli spełnione będą poniższe warunki, składnik CheckInventory może w imieniu klienta wywołać składnik Backorder:

Opisany wyżej mechanizm pozwala tworzyć pakiety zawierające składniki "ufające sobie nawzajem" , ograniczając jednocześnie uprawnienia do ich wybierania.

Aby włączyć sprawdzanie ról dla pierwotnych obiektów wywołujących, które wywołują składnik Backorder bezpośrednio, należy zaznczyć folder "Przynależność ról" dla składnika Backorder, kliknąć polecenie Nowy z menu Akcja, po czym wybrać rolę Sprzedaż. W ten sposób rola Sprzedaż (wraz z mapowanymi użytkownikami) zostanie przypisana do składnika Backorder, w związku z czym składnik Backorder będą mogli uruchamiać jedynie pracownicy działu sprzedaży. Aby uaktywnić nowe ustawienie zabezpieczenia, należy zaznaczyć pole wyboru Włącz sprawdzanie upoważnienia zarówno dla pakietu "Magazyn", jak i dla składnika Backorder.

Więcej informacji na temat sprawdzania ról można znaleźć w podręczniku Podręcznik programisty programu MTS, w podrozdziale Zabezpieczenia programowalne (ang. Programmatic Security).

Aby włączyć sprawdzanie tożsamości dla zabezpieczenia:

  1. Jeśli jeszcze tego nie wykonano, zamapuj swoje konto użytkownika do roli Administrator pakietu systemowego.

  2. Zaznacz pakiet systemowy i kliknij polecenie Akcja z menu Właściwości lub menu wyświetlanego po kliknięciu prawym przyciskiem myszy.

  3. Przejdź do karty zabezpieczenia i zaznacz pole wyboru Włącz sprawdzanie upoważnienia .

  4. Zatrzymaj proces serwera pakietu systemowego, zaznaczając pakiet systemowy, klikając prawym przyciskiem myszy i wybierając polecenie Zamknij.

    Zamiast wykonywania kroków od 4 do 7, możesz zamknąć wszystkie pakiety serwera jednocześnie. W tym celu wybierz ikonę Mój Komputer, a następnie kliknij polecenie Zamknij proces serwera z menu Akcja.

  5. Zaznacz pakiet, dla którego chcesz włączyć zabezpieczenie.

  6. Przejdź do karty zabezpieczenia i zaznacz pole wyboru Włącz sprawdzanie upoważnienia .

  7. Zatrzymaj proces serwera pakietu systemowego, zaznaczając ten pakiet, klikając prawym przyciskiem myszy i wybierając polecenie Zamknij.

Po zainstalowaniu i skonfigurowaniu pakietu na serwerze źródłowym rozmieszczania można uniemożliwić przyszłe zmiany konfiguracji składników, blokując pakiet. Więcej informacji na temat blokowania konfiguracji pakietu można znaleźć pod hasłem Blokowanie pakietu MTS.

Zobacz też

Pakiet "System", Folder "Role", Folder "Użytkownicy", Folder "Przynależność ról", Zarządzanie użytkownikami dla ról MTS, Podręcznik programisty programu Microsoft Transaction Server

© 1998 Microsoft Corporation. Wszelkie prawa zastrzeżone.