|
аций к служебным данным.
Клиент-сервер (х86-64). Особенности установки и использования
Глава 1. Принципы построения и работы с информационными базами 39
Для того, чтобы рабочий процесс запускался не от имени того же пользователя, что и агент
сервера, в каталоге данных приложений, относящемся к пользователю агента сервера, может
быть разме щен файл swpuser.ini следующего формата:
user=<имя пользовател я операционно й системы> password= Например, файл swpuser.ini может содержать следующие данные:
user=\\server_comp\uuiiu
В этом случае рабочие процессы, запускаемые па данном рабочем сервере, будут запускаться от имени
заданного пользователя (\\server_comp\uuuu), зарегистрированного в операционной сис теме.
Безопасность каталога временных файлов
Защита данных из временных файлов выполняется иначе. По скольку системный каталог временных файлов
является общедос тупным, то в нем ограничиваются права доступа к каждому вре менному файлу
отдельно.
Клиент-сервер (х86-64). Особенности установки и использования
40 1С:Предприятис
8.1. Фирма «1С»
Для этого при создании временного файла кластером серверов 1С:Предириятия пользователю USR1CV81
устанавливаются пол ные права на создаваемый файл. Другим пользователям доступ к этому
файлу запрещается. Таким образом, данные, хранимые во временных файлах, защищаются от
несанкционированного досту па:
Шифрование паролей, хранимых в служебных данных кластера серверов
Пароли администраторов кластера серверов и пароли доступа к информационным базам хранятся на
кластере серверов в зашиф рованном виде. Для этого используется шифрование алгоритмами SHA1 и
AES128.
Клиент-сервер (х86-64). Особенности установки и использования
Глава 1. Принципы построения и работы с информационными базами 41
SHA1 - это алгоритм контрольного суммирования. С его помо щью хранятся пароли,
которые проверяет система 1С:Предприятие (например, пароль администратора кластера, ад
министратора центрального сервера). При этом исходный текст хранимых паролей восстановить
нельзя, а можно только прове рить совпадение контрольной суммы введенного пароля с
храни мой контрольной суммой.
AES128 - это алгоритм шифрования. С его помощью хранятся пароли, для которых должен
восстанавливаться исходный текст (например, пароли доступа к СУБД).
Безопасность данных, передаваемых внутри кластера серверов
Безопасность данных, передаваемых внутри кластера серверов (например, между рабочими процессами и
менеджером кластера) обеспечивается за счет возможности шифрования передаваемых данных. При этом
используются три уровня безопасности, о ко торых было сказано выше: Выключено,
Установка соединения и Постоянно.
При взаимодействии рабочего процесса с менеджером кластера используется уровень безопасности
кластера. При взаимодейст вии агента сервера с менеджером кластера уровень безопасности
выбирается как максимальный из уровня безопасности, с кото рым запущен агент сервера и
уровнем безопасности кластера, об служиваемого данным менеджером.
Администраторы центрального сервера и администраторы кластера
Администрирование кластера серверов 1С:Предприятия 8.1 может выполняться как с использованием
аутентификации администра торов, так и без нее.
Если аутентификация не используется, то любой пользователь, подключившийся к центральному
серверу кластера, может вы полнять все административные действия, как с центральным сер
вером, так и с любым кластером, расположенным на данном сер вере. По умолчанию
после установки кластера серверов
Клиент-сервер (х86-64). Особенности установки и использования
42 1С:Предприятие 8.1.
Фирма «1С»
1С:Предприятия 8.1 аутентификация администраторов не исполь зуется.
Для ограничения круга пользователей, которые могут выполнять административные действия, создаются
списки администраторов центрального сервера и списки администраторов каждого из кла стеров,
расположенных на данном сервере. Области действий, на которые распространяются нрава
администраторов центрального сервера и администраторов кластеров, не пересекаются.
Аутентификация администратора центрального сервера позволяет пользователю выполнять
административные действия с цен тральным сервером, по для того, чтобы выполнить какие-либо
административные действия с конкретным кластером, требуется аутентификация администратора кластера.
В то же время для вы полнения административных действий с кластером пользователь должен
аутентифицироваться как администратор кластера; до полнительная аутентификация в качестве
администратор 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
|
|