10.29.2012 Թիմ գարշահոտ
Այս հոդվածում ես կփորձեմ պարզաբանել «Գովազդի առավել անհասկանալի երկխոսության տուփի» որոշ ասպեկտները, որը Microsoft Management Console- ի (MMC) (DSA.MSC) ): Մենք կանդրադառնանք տարբեր կազմաձեւերի համար հատկանիշների արժեքներին: Տեղադրման պարամետրերի հանձնարարականը հասկանալը թույլ կտա ճիշտ կազմաձեւել գովազդային ծրագրերում եւ ծառայություններ, օգտագործելով Կերբերոսի պատվիրակությունը
Tim Springston ( [Email պաշտպանված]) - Ծառայությունների ավագ ճարտարագետ Տեխնիկական աջակցություն Microsoft- ում առեւտրային տեխնիկական աջակցության բաժանմունքները պատասխանատու են անվտանգության եւ թույլտվության համար:
Microsoft- ի տեխնոլոգիայի ոլորտում առավել ակտիվ քննարկվածներից մեկը վավերացում է Կերբերոսի արձանագրության վերաբերյալ: Տարօրինակ է, եթե հաշվի առնենք, որ թողարկման պահից ի վեր ինքնին տեխնոլոգիան եւ դրա գործառույթները չեն ենթարկվել էական փոփոխությունների Windows սերվեր 2003 թ., Եվ դեռ Քերբերոսը շարունակում է մնալ լրացուցիչ փաստաթղթեր կազմելու ենթակա:
Կերբերոսի աշխատանքի տեխնիկական կողմը ուսումնասիրելու եւ սխալների պատճառը պայմանավորված է նրանով, որ չնայած տեխնոլոգիան ինքնին մնում է անփոփոխ, օգտագործելով իր ծառայությունները եւ դրա օգտագործման մեթոդները հաճախ եզակի են: Այնուամենայնիվ, յուրաքանչյուր սցենարում մնում է ակտիվ գրացուցակի (գովազդի) տեղադրման պարամետրերի առաջադրանքը եւ սխալի հաղորդագրությունների իմաստը:
Այս հոդվածում ես կփորձեմ պարզաբանել «Գովազդի առավել անհասկանալի երկխոսության տուփի» որոշ ասպեկտները, որը Microsoft Management Console Console (MMC) (DSA) - ի «Ակտիվ գրացուցակ» -ի (MMC) համակարգիչների համար պատվիրակության ներդիրն է: MSC): Մենք կանդրադառնանք տարբեր կազմաձեւերի համար հատկանիշների արժեքներին: Տեղադրման պարամետրերի հանձնարարականը հասկանալը թույլ կտա պատշաճ կերպով կազմաձեւել գովազդային ծրագրերում եւ ծառայություններ `օգտագործելով Կերբերոսի պատվիրակությունը:
Պարզ ինտերֆեյս
Ինչու ժամանակ անցկացնել «պարզ» ինտերֆեյսը ուսումնասիրելու համար: Անհրաժեշտ է մանրամասների ուսումնասիրություն, քանի որ տարբեր պարամետրերի աշխատանքի տեխնիկական կողմի պատկերացումները թույլ կտան ավելի հաջողությամբ ուղղել իրենց կազմաձեւման սխալները: Հետեւաբար, եկեք սկսենք տեղադրումների իմաստը հասկանալուց: Եթե \u200b\u200bդուք բացում եք Active Directory օգտագործողները եւ համակարգիչները Snap եւ անցեք համակարգչային հաշվի հատկություններին, կտեսնեք պատվիրակության պատվիրակության էջանիշը (պայմանով, որ ձեր անտառը գտնվում է սերվերում 2003-ի ֆունկցիոնալ մակարդակում): Այս ներդիրը ցուցադրվում է էկրանին 1. Էկրանի վրա այս ներդիրի անջատիչների հանձնարարականը բացատրելու համար կարող են տրվել այլընտրանքային անուններ:
Նախքան պարամետրերի իմաստով խորանալը բացատրեք, թե ինչ պատվիրակությունը Կերբերոսը է: Պատվիրակությունը (կոչվում է նաեւ «անձնավորության» կամ հասարակ պատվիրակության համար) `դիմումի կամ Kerberos տոմսերի ծառայության ստացման գործընթացն է` ռեսուրսներ ստանալու կամ Հեռավոր համակարգիչ Օգտագործողի անունից: Վստահելի է պատվիրակության էությունը, ծառայություն է Հաշիվ, որի անունից է աշխատում դիմումը: Պատվիրակությունը հնարավորություն է տալիս մուտք գործել միայն այն ռեսուրսները, որոնց միջոցով օգտագործողը մուտք կունենային եւ կներկայացնի օգտագործողի տեղեկատվությունը: Որպես սցենարի օրինակ, դուք կարող եք բերել վեբ սերվեր, որը միացված է SQL Server համակարգին `օգտագործողի անհրաժեշտ տվյալները վեբ հաճախորդին ցուցադրելու համար:
Երկու վերին տարբերակ («Մի վստահեք համակարգչային պատվիրակությանը» եւ «վստահեք համակարգչին պատվիրակին որեւէ ծառայություններ») էկրանին 1-ին պարզաբանումներ չեն պահանջում: Երրորդ տարբերակը Կերբերոս կաշկանդված պատվիրակության (KCD) սահմանափակ պատվիրակությունն է, որը գրեթե նման է հասարակ պատվիրակությանը, բայց այն տրամադրում է անհատական \u200b\u200bվկայականի պատվիրակություն միայն նշված ծառայությունների կամ համակարգիչների համար: Այս տարբերակը ավելի շատ է բարձր մակարդակ Անվտանգություն, սահմանափակելով անհատական \u200b\u200bօգտագործողի ինքնության պատվիրակության շրջանակը, այնպես որ պատվիրակությանը վստահելի ծառայության վկայականի փոխզիջման դեպքում հետեւանքները սահմանափակվում են միայն այդ ռեսուրսների հասանելիության ունակությամբ Հեռավոր սերվերներորոնք ընտրվում են ձեռքով սահմանափակ պատվիրակության համար:
Էկրանի չորրորդ տարբերակը 1-ին թույլ է տալիս KCD- ին եւ ծառայություններին եւ S4U) ընդլայնման համար: Extension S4u- ն ապահովում է ավելի լայն գործառույթներ, ինչպիսիք են Արձանագրության փոփոխությունը: Արձանագրության փոփոխությունը տեղի է ունենում այն \u200b\u200bժամանակ, երբ Հաճախորդը առաջին հերթին կատարում է վավերացում, Քերբերոսից այլ արձանագրության միջոցով, մուտքային կապով, այնուհետեւ անցնում է Կերբերոսին: Մանրամասն նկարագրություն S4U- ն պարունակվում է «Windows Server 2003» փաստաթղթում «Հետազոտող S4U Kerberos Extensions» - ում (MSDN.Microsoft.com/en-us/magaSoft.com/en-us/magazine/cc188757.aspx) եւ «Արձանագրության անցում սահմանափակված պատվիրակության տեխնիկական լրացումով» / en- ԱՄՆ / Գրադարան / FF650469.aspx): Այս ռեսուրսները կենտրոնացած են ծրագրավորողների վրա, եւ ոչ թե ադմինիստրատորների վրա, բայց նաեւ կարեւոր է, որ ադմինիստրատորը հասկանա, թե որն է S4U- ն, թե ինչպես այն պետք է օգտագործվի: Այդ նպատակով մենք տալիս ենք S4U- ի առանձնահատկությունների համառոտ ցուցակը ադմինիստրատորի համար:
Օգտագործողի ցուցիչի մասին տեղեկատվություն ստանալը `առանց այս ցուցանիշի իրական ստացման եւ առանց տոմսերի տրամադրման տոմս (TGT) տոմս ստանալու վստահելի տոմսերի տոմսով վստահելի օգտագործողի կամ հաշվի տվյալների մուտքից: Ստացված տեղեկատվությունը այնուհետեւ կարող է օգտագործվել, օրինակ, թույլտվությունը ստուգելու համար: Այս ընդլայնումը հայտնի է որպես ծառայություններ-օգտագործող ինքնուրույն (S4u2 Self):
Առանց Կերբերոսի կոմունալ տոմս ստանալու անհրաժեշտության տոմսեր ստանալը, առանց հաշվի տվյալների տվյալների, TGT փոխանցման կամ առանց վավերացման - ծառայություններ-օգտագործող-անձի (S4u2Proxy):
Նախկինում նշված արձանագրության փոփոխություն կատարելը: Կորպորատիվ ծառայության կողմից հաճախորդի դիմումներն ի սկզբանե կատարում են վավերացում, օգտագործելով Kerberos- ից բացի այլ մեթոդ, եւ S4u- ն թույլ է տալիս վստահելի ծառայությանը փոխել օգտագործողի նստաշրջանը, որն արդեն իսկ անցել է վավերացում, որն արդեն անցել է Կերբերոսի օգտագործմանը: Այստեղ է, որ կազմաձեւման սխալներով առաջացած կազմաձեւման սխալները հաճախ տեղի են ունենում, քանի որ դիմումի փաստաթղթերը հաճախ չեն պարունակում հստակ բացատրություններ այն մասին, թե արդյոք արձանագրությունն անհրաժեշտ է եւ ինչպես կարգավորել այն գովազդի մեջ: Այնուամենայնիվ, այս թեման արդիական է, քանի որ այսօր գրեթե հոդված չկա, առանց «ամպերը» նշելու: «Cloud» - ի միջոցով կապող հաճախորդները ամենից հաճախ կկիրառվեն NTLM վավերացում, դոմենային վերահսկիչների (DC) վերամշակման խնդրանքների պատճառով, Ինտերնետում Կերբերոս ծառայության տոմսերի տրամադրման համար: Արձանագրության փոփոխությունը հնարավորություն է տալիս օգտագործողին միացնել այս տիրույթը ծրագիր Անցային էկրան կամ վստահված սերվերներ, օգտագործելով նույնականացման մեթոդներից մեկը (օրինակ, NTLM), այնուհետեւ անցնել Kerberos վավերացմանը `ներսում հետագա գործողություններ կատարելու համար Կորպորատիվ ցանց, Քանի որ «ամպը» նշանակում է միանալ ինտերնետի միջոցով, գուցե չկասկածեք, որ եթե օգտագործում եք ցանկացած «ամպամած» լուծույթ, ապա վաղ թե ուշ կօգտագործեք Kerberos արձանագրությունների փոփոխության:
Արտաքին ծածկույթի տակ
Հիմա հաշվի առեք, թե իրականում ինչ է պատահում, երբ տեղադրում եք այս չորս պարամետրերից յուրաքանչյուրը, օգտագործելով LDP, դիտելով կազմաձեւերից յուրաքանչյուրի համար սահմանված հատկանիշների արժեքները: LDP- ն տեղադրված է դոմեյն ծառայությունների գովազդի իրավունքով `լռելյայն եւ կարող է օգտագործվել որպես LDAP Ընթացիկ վերամշակման գործիք Գրաֆիկական ինտերֆեյս, LDP- ն թույլ է տալիս կառուցել ձեր սեփական LDAP հարցումները եւ արդյունքները դիտել հարմար ձեւով: LDP- ի օգտագործման լրացուցիչ առավելությունը `ատրիբուտային արժեքները դիտելու համար (օրինակ, Useraccountontrol) հաշվարկված պարամետր արժեքները գոլորշի ձեւին փոխանցելու համար` թվերի համադրման փոխարեն: Ի դեպ, ավելին Ուշ վարկածներ AdsiEdIt.MSC- ն տրամադրում է նաեւ հաշվարկված պարամետրերի արժեքների նմանատիպ վերամշակում:
Այսպիսով, Windows Server 2008-ում եւ LDP.exe եւ Adsiedit.MSC- ի նոր տարբերակներով Ավտոմատ թարգմանությունը Վերբաժի արժեքներ (օրինակ, Useraccountcontrol), որը վերացնում է Calc.exe բացելու եւ MSDN- ի կամ Microsoft- ի գիտելիքների բազայի համար առցանց փաստաթղթեր բացելու անհրաժեշտությունը:
Այժմ հաշվի առեք LDP- ում վերափոխման արժեքները փոխելը, կախված տեղադրողներից: Սկսենք այնպիսի հաշվից, որը չի վստահում պատվիրակությանը: Էկրանի վրա 3, պարզ է, որ Test2 հաշիվը վստահելի չէ, եւ որ օգտագործողի հաշվարկային հարկի հատկանիշի 1020 արժեքը (համապատասխանում է տասնորդական 4128-ին):
Էկրանի վրա 4-ը ցույց է տալիս պատվիրակությանը վստահված հաշիվ: Մենք կարող ենք տեսնել USERACCOUTCONTROL հատկանիշի արժեքը, որը թարգմանվել է վստահելի_ֆորացիայի մեջ, նշելով Կերբերոսի պարզ անսահմանափակ պատվիրակության այս ծառայության վկայականը:
Վստահության պատվիրակություն որոշակի ծառայություններ
Հետեւյալ պարամետրերը շատ կարեւոր են, եթե նախատեսված է օգտագործել S4U կամ KCD: Առաջին դեպքը համապատասխանում է միայն այս համակարգչին համապատասխանող ծառայության համար վստահության ընտրությանը («Վստահեք այս համակարգիչը պատվիրակին միայն նշված ծառայություններին» եւ օգտագործեք միայն Kerberos- ը): Էկրանի վրա 5-ը կարելի է տեսնել, որ օգտագործողի կողմից օգտագործողի նման ընտրությամբ կրկին ստանում է Workstation_trust_account- ը, իսկ MSDS-Allownloustodelegto ատրիբուտը ավտոմատ կերպով լրացվում է ընտրված ծառայություններով: Ոչ մի այլ ընթացակարգ չի լրացվում այս հատկանիշով եւ չի ազդում: Քանի որ գրառումները թվարկում են որոշակի ծառայություններ համակարգչում, որի համար թույլատրվում է պատվիրակությունը:
Երկրորդ տարբերակը ավելի քիչ անվտանգ է. Օգտագործեք ցանկացած վավերացման արձանագրություն («Օգտագործեք որեւէ վավերացման արձանագրություն»), որը թույլ է տալիս փոփոխել արձանագրությունը եւ երկարաձգման այլ ընտրանքներ: Բացի MSDS-LustTodelegateto ատրիբուտի գրառումներից, այս պարամետրը փոխում է օգտագործողի հաշվարկը, որն ընդունում է վստահելի_ո_ապենտային_ֆոր_դելացիան (T2A4D), ինչպես ցույց է տրված էկրանին: Այս դրոշի մեջ այլ բաղադրիչ չի օգտագործվում: Նկատի ունեցեք, որ այս պարզ անջատիչը չափազանց կարեւոր է, քանի որ եթե այն ընտրված չէ, ապա S4u2 Secvel- ը, S4u2Proxy- ը եւ արձանագրության փոփոխությունը կվարվեն, որոնք կարող են խնդիրներ առաջացնել համապատասխան տեսակների համար, որոնք սպասում են դիմումների եւ ծառայությունների համար: Մասնավորապես, արձանագրության փոփոխությունը կավարտվի սխալմամբ, իսկ տոմսը չի տրվի: S4u2proxy- ը եւ S4u2 Self- ը առանց առաջնային դրոշ (վերահղում) չեն ունենա սխալ:
"Ինքդ արա"
Ինչ է պատահում, եթե դիմումի կամ ծառայության օգտագործած ծառայության ծառայության հաշիվը պետք է կատարի որեւէ գործողություն, որը պահանջում է արձանագրության փոփոխություն, եւ պատվիրակության ներդիրը կդառնա միայն օգտագործելու Կերբերոսին (օգտագործեք միայն kerberos ") Նույնականացման արձանագրություն («Օգտագործեք որեւէ արձանագրության վավերացում»): Հաճախորդի դիմումի համար սխալը կարող է վերցնել մուտքը մերժված ձեւը («մերժված մուտք»), երբ փորձեք մուտք գործել ցանցային ռեսուրսներ, կամ սխալ կարող է առաջանալ, առանց դիմումի վավերացմանը, կամ դիմումի անսպասելիության անսպասելի սխալ: Սխալի դրսեւորման անորոշությունը հետագայում բարդացնում է առաջադրանքը: Այնուամենայնիվ, ամենայն հավանականությամբ արդյունքը կարող է մերժվել («մերժված մուտք»): Նման իրավիճակում համոզվեք, որ սովորեք դիմումի կամ ծառայության փաստաթղթերը եւ պարզվի, արդյոք արձանագրությունը փոփոխություններ են կատարվում կամ չի կարելի ստանալ առանց TGT- ի սպասարկումից տոմս ստանալու պահանջների: Խնդիրն այն է, որ փաստաթղթերի կազմողների մեծամասնությունը իսկապես չի հասկանում KCD կազմաձեւման իմաստը եւ, հետեւաբար, անբավարար բացատրություններ տալու համար, կամ դրանք հիմնականում ծախսեր են:
«DIY» - ի սկզբունքով սխալի պատճառները պարզելու եղանակը կարող է լինել ցանցի հետքի տվյալների պարզ հավաքածու `պատվիրակության համար վստահված սերվերից: Հավաքված տվյալների զտիչը Kerberos- ի կողմից (Kerberosv5 Microsoft Network Monitor- ում կամ Kerberos- ում Croupeshark- ում): Տոմսերի տրամադրման համար (TGS_REQ) տոմսի դիմում է փոխանցվում Kerberos Distribution Center (KDC) AD Key բաշխիչ կենտրոն եւ պարունակում է KDC- ի պարամետրերը սահմանափակ պատվիրակության դրոշով: Եթե \u200b\u200bհրաժարվեք տոմս տրամադրելուց, սերվերի պատասխանը (TGS_REP) պարունակում է սխալ KDC_ERR_BAD_Option, որը հեշտ է նկատել ցանցի հետագծման արդյունքներում:
Լրացուցիչ տեղեկություններ Microsoft Kerberos- ի ներդրման աշխատանքների մասին կարելի է գտնել Բաց արձանագրություններում առցանց բնութագրում: Kerberos Protocolation Extensions (MSDN.Microsoft.com/en-us/library/cc2338 39.aspx) Պարունակում է ընդհանուր փաստաթղթեր Kerberos- ի եւ «Kerberos Protocolation Extensions. Msdn.microsoft.com/en-us/library/cc246071%28V\u003dprot.13%29.aspx) - փաստաթղթեր, Կերբերոս եւ S4U սահմանափակ պատվիրակության վերաբերյալ:
Կատարյալ աշխարհ
Հուսով եմ, որ Կերբերոսի միջերեսի պատուհանում պարամետրերի վերը նշված վերլուծությունը եւ գովազդի նրանց համապատասխանեցումները կօգնեն ձեզ ավելի լավ հասկանալ դրանց իմաստը: Իդեալը կարող է լինել մի աշխարհ, որում կառավարվող ծառայությունների փաստաթղթերը պարունակում էին դրանց տեխնիկական ուղեցույց Պատշաճ պարամետր Վավերացման համար: Այնուամենայնիվ, եթե իրականությունը հեռու է իդեալականից, այս տեղեկատվությունը պետք է օգնի բարելավել ձեր գործիքակազմը: Հասկանալով պարամետրերի աշխատանքի տեխնիկական կողմը հաջողության բանալին կլինի:
2 պատասխան
լուծված:
Առաջին խաղակեսը իմ ճնշումն էր: Երկրորդ կեսը ... Դե, ես ոչ մի խոսք չունեմ այն \u200b\u200bմասին, թե ինչն էր սխալ: Փաստորեն, սա սխալ չէ կամ անհամատեղելիություն, բայց ինչ-որ բան շատ անհարմար է, ընդհատվող եւ դժվար է հասկանալ: Նախ, ամփոփում, իսկ հետո, երկարության բացատրությունը նրանց համար, ովքեր հոգ են տանում.
Չնայած սխալի հաղորդագրությունների նախադասություններին, սա խնդիր չէ հայեցակարգային մոդելի (CSDL) հետ, բայց սյուները համեմատելու խնդիրը, որոնք վերստեղծվել են ինքն իրեն ընդհատումներով:
Հայեցակարգային մոդելը կառուցվել է EDMXWRITER DBCONTEXT Syntactic վերլուծության եւ հիմնական մասերի համար:
Այնուհետեւ մոդելը օգտագործվել է SQL սցենարներ ստեղծելու համար `միացումը նոր տվյալների բազա տեղափոխելու համար: Ուշադրության կենտրոնում է, որ տվյալների բազան Oracle է:
Oracle- ը երեխա է եւ չի ընդունում երկար սյունակների անուններ: Այսպիսով, EDMX եւ SQL սցենարները պետք է փոփոխվեն `հայեցակարգային մոդելի մասերը ստեղծելու եւ համեմատելու համար` կրճատված սյունակների անուններով:
Շատ մեծ գործ չէ: Այն լավ է աշխատում: Ուրեմն որտեղից ամեն ինչ սխալ է եղել:
Oracle- ը չի պաշտպանում «Առաջին կոդը»: Եվ չնայած դա արվել էր ձեռքով, Edmxwriter- ի օգտագործումը Oracle- ում ծածկագրային մոտեցում է: Հետեւաբար, երբ առաջին EDMX սխեման ապամոնտաժվեց, դա տրամաբանական համեմատություններ է: Որոշումն էր ժամանակավորապես հեռացնել Bools- ը իմ C # մոդելներից, դրանք ավելացնել EDMX ձեռքով եւ քարտեզագրելով web.config Oracle- ը (քարտեզագրող Bool (1.0)):
Բոլորը կրկին մռայլ են: Բայց ինչու է նա շարունակում կրկնել:
Տարբեր ժամանակներում զարգացման գործընթացում, համաձայնագրի որոշ ծայրեր `կամ C #, EDMX կամ Oracle փոփոխություն: Եվ ամեն անգամ, երբ թվում է, սյուները ավտոմատ կերպով վերանշանակվում էին, եւ ես չգիտեի: Եթե \u200b\u200bEDMX մոդելը թարմացվել է Oracle- ից, համեմատելիը ցույց է տվել C #- ի հատկությունները, որոնք (կարճ սյունակի անուններ): Եթե \u200b\u200bմոդելը թարմացվել է C # կոդից, քարտեզագրումը չի փրկվել, եւ նրանք փորձել են համեմատել սյուների երկար անունները, որոնք Oracle- ում չէին:
Այս մոտեցմամբ սխալ (առաջին հիբրիդային կոդն ու մոդելը), եթե ուզում եմ շարունակել վերահսկել իմ սեփական մոդելները եւ կարգավորել երեխայի նկատմամբ փոքր վերաբերմունքի համար անհրաժեշտ պարամետրերը, ես պետք է շատ զգույշ լինեմ եւ հետեւեմ EDMX ֆայլի հատկությանը ,
Կայքեր, ծրագրեր, խաղեր. Տեղեկատվական ռեսուրսներ, որոնք ղեկավարվում են օգտագործողների կողմից: Գործողության մեկ կամ մեկ այլ օգտագործողի համար թույլատրելի եւ արգելված գործողությունները բաժանելու համար օգտագործվում են մուտքի իրավունքներ (PD): PD- ի դերը դերը դնում է: Օրինակ, նայեք հիմնական կայքին `գրանցման հնարավորությամբ:
Այս կայքում «Կենդանի» 3 դերերով `իրենց իրավունքներով եւ պարտականություններով.
1.
Այս դերում գործում են բոլոր անանուն կանխավճարները: Եթե \u200b\u200bմենք կայքի հյուրերին հագնենք ճիշտ «մեկնաբանություններ ավելացնելով», ապա կայքէջին եկած օգտագործողը կկարողանա մեկնաբանել ձեր հետաքրքրությունը: Եվ եթե ոչ, ապա մեկնաբանեք այն բովանդակությունը, որը ձեզ հարկավոր է նախ գրանցվել:
2.
Անցյալի վավերացում եւ թույլտվություն Anonymous Get Նոր դեր, Միայն լիազորված օգտվողները կարող են կառավարել Անձնական հաշիվ, Ավելացնել եւ խմբագրել անձնական տվյալները, դիտեք տեղեկատվությունը այլ նիշերի մասին: Չգրանցված օգտվողները իրավունք չունեն այս գործողությունների:
3. Կառավարիչ
Այս լռելյայն դերը օգտվողը լիարժեք մուտք է տալիս կայք: Ռեսուրսների ադմինիստրատորը ավելացնում է, հեռացնում է բլոկները եւ այլ օգտվողներից տալիս կամ խլում է մեկ կամ մեկ այլ ֆունկցիոնալություն մուտք գործելու իրավունք:
Ինչպես թեստավորել եւ ինչ եք ուշադրություն դարձնում:
Առաջին հերթին մենք կփորձենք չհեռացնել «գերհզոր կառավարիչը», խաղալով պարամետրերի հետ:
- Ստեղծեք անվտանգ բնույթ
Ծրագրին իրական գործողություններին մոտենալու համար բավարար լրացուցիչ օգտվող կա նման վարչական լիազորություններով: Եվ արդեն այս կերպարի միջոցով մենք փորձարկում ենք ռեսուրսը եւ փոխում այլ օգտվողների մուտքի թույլտվությունները:
- Ստուգեք մի քանի զննարկիչներում
Մենք անում ենք միեւնույն ժամանակ. Մեկը փոփոխում է PD- ն, մեկ այլ դեպքում, դուք ստուգում եք օգտագործողի համար իրավունքների օգտագործումը, դրանով իսկ փոխանակելով օգտագործողի նստաշրջանը:
- Մենք անցնում ենք ուղղակի հղումով
Թեստային բլոկի սահմանափակումներ, շարժվելով դրանց վրա URL հասցեն, Դիտեք ռեսուրսների որոշ տվյալներ պետք է անհասանելի լինեն `չթույլատրված հյուրի կայքի համար: Եթե \u200b\u200bմուտքը սահմանափակ է, ապա ամեն ինչ կարգին է. Փակ տեղեկատվության փոխարեն, անանունը կստանա նախազգուշական հաղորդագրություն հատուկ էջի տեսքով, ամենից հաճախ, 403 կոդով:
- Մենք փորձարկում ենք սուբյեկտների արգելափակումը
Ռեսուրսների համար, ինչպիսիք են տոմսերի եւ տուրերի տոմսերը, կարեւոր է արգելափակել կետը, երբ մի քանի օգտվողներ անմիջապես կարող են մուտք գործել այն: Կան երկու արգելափակման տարբերակ.
+ Լավատեսական արգելափակում Երբ խնայելը ստուգում է տվյալների բազան ավելին նոր տարբերակ Այլ օգտագործողի կողմից թողած տվյալները: Եթե \u200b\u200bդա այն է, ապա ներկայիս օգտագործողը թարմացնում է կազմակերպության այս օրինակը:
+ Հոռետեսական արգելափակում Սուբյեկտներն օգտագործվում են այն ժամանակ, երբ լավատեսորեն շատ բախումներ են առաջացնում: Այս դեպքում ներկայումս միայն մեկ օգտվող օգտագործում եւ փոփոխություններ է կատարում Այս տարբերակը Սուբյեկտներ:
Կարող է փորձարկվել մեկ համակարգչից մի քանի զննարկիչներով կամ տարբեր հաշիվներով:
- Մենք օգտագործում ենք թեստային մատրիցա
Նա պարզեցնում է թեստավորողի աշխատանքը, հստակ ցույց է տալիս թույլատրելի եւ արգելված գործողություններ, եւ դա պարզապես օգնում է որեւէ բան բաց չթողնել: Մենք դրանում նկարում ենք բոլոր դերերը, օգտվողները, մեր կերպարների հնարավորությունների սահմանափակումների տատանումները:
Եվ ահա թեստային մատրիցայի ամենապարզ օրինակը.
Մուտքի վերահսկողությունը հիմնական ստուգումներից մեկն է: Նույնիսկ երեք դերերով տեղական գրադարանի կայքը ստուգելը բախվում է դժվարությունների փորձությանը: Բայց տասնյակ դերերով, հազարավոր օգտագործողներ եւ միլիոնավոր թույլտվություններ ունեցող հանրաճանաչ ռեսուրսներ պահանջում են ադմինիստրատորների ամբողջ բանակ: Մեզ համար դժվար է պատկերացնել վնասի մասշտաբը, եթե փորձարկումը վերցնում է շեղումը: Գրավել իրավասու մասնագետներին եւ թույլ մի տվեք, որ տարածությունները ապահով են ձեր արտադրանքը:
