Безопасность

В Эллес управление безопасностью основано на гибкой модели контроля доступа, применяемой ко всем объектам каталога. Любой объект (учетная запись, группа, контейнер или иной элемент структуры) имеет собственный дескриптор безопасности. Этот дескриптор определяет, кто является владельцем объекта, какие разрешения установлены и какие события должны фиксироваться для последующего аудита.

Каждый субъект, выполняющий действия в доменной среде, обладает уникальным идентификатором безопасности (SID). Субъектами могут быть пользователи, группы, сервисы и компьютеры. Эллес использует SID для сопоставления субъекта с разрешениями, назначенными объектам каталога.

Права доступа задаются с помощью списков управления доступом (ACL), в составе которых хранятся записи контроля доступа (ACE). Каждая такая запись определяет отдельное разрешение для субъекта или группы. При попытке выполнить операцию над объектом система сравнивает SID субъекта с ACE, определяя, позволено действие или нет. Модель безопасности поддерживает как разрешающие, так и запрещающие записи, что позволяет точно задавать политику доступа.

Эллес предоставляет широкий набор стандартных и расширенных прав, позволяющих управлять доступом на уровне объектов, их свойств и специфических операций, таких как создание и удаление дочерних объектов, чтение и запись атрибутов, выполнение административных действий и управление доступом. Расширенные права (Control Access Rights) обеспечивают дополнительную точность — например, позволяют управлять доступом к отдельным операциям, не привязанным напрямую к конкретным свойствам.

Настройки безопасности доступны в виде отдельной секции в карточке объекта каталога.