Настраиваемые политики паролей в Lotus Notes и Domino 7
2.1.2 Организационные и явные политики
Существует 2 типа политик: организационные и явные. Важно понимать различие между этими типами, в противном случае вы будете реализовывать эти политики неправильно. Кроме того, существуют исключения, применимые к этим политикам.
Организационные политики
Организационная политика автоматически применяется ко всем пользователям, зарегистрированным в определенном подразделении организации. Например, если администратор хочет создать параметры по умолчанию, распространяющиеся на всех пользователей в компании (фиктивной) ITSO Acme, относящихся к подразделению Sales/Acme, администратор должен просто создать организационную политику с именем */Sales/Acme. Если после этого данный администратор будет применять сертификационный ID Sales/Acme для регистрации пользователя, этот пользователь автоматически получит все параметры из соответствующей организационной политики.
Если пользователь перемещается в пределах иерархической структуры (например, перейдя из отдела продаж в отдел маркетинга), то ему автоматически присваивается организационная политика, связанная с соответствующим сертификационным ID. Например, если администратор переводит пользователя из Sales/Acme в Marketing/ Acme, то данному пользователю назначаются все параметры, определенные в документах параметров рабочего стола, архивирования и безопасности, связанных с организационной политикой */Marketing/Acme. Новые параметры политики вступают в действие при первой аутентификации пользователя на домашнем сервере1На самом деле полное применение политик обычно происходит не после получения новых параметров, а после перезагрузки клиента, получившего новые параметры. Примеч. науч. ред. .
Явные политики
Явные политики присваивают параметры по умолчанию конкретным пользователям и группам. Например, чтобы определить 6-месячный период действия сертификата для сотрудников по контракту во всех подразделениях, администратор просто создает явную политику, а затем присваивает ее каждому контрактнику или группе, в которую входят все контрактники.
Существует 3 способа присвоения явной политики: при регистрации пользователя, путем редактирования пользовательского документа Person или путем употребления инструмента Assign Policy.
Использование исключений
Администраторы имеют возможность присвоить атрибут-исключение (exception) организационной или явной политике.
Администратор применяет исключения для того, чтобы пользователь мог изменить параметр политики, который иначе принудительно применяется во всей организации. Если создается политика-исключение, то администратор может указывать в ней только те параметры, которые не будут принудительными. Затем, когда политика исключений будет присвоена, пользователи будут освобождены от обязательного применения этих параметров.
Политики исключений являются способом предоставления какому-нибудь сотруднику организации особых возможностей, что может быть связано с его постом или требованиями работы. Например, в политике */Acme есть параметр политики регистрации, который задает размер квоты почтовой базы данных равным 60 Мб. Однако небольшой группе сотрудников Acme необходимо превысить эту квоту. Решением будет создание политики-исключения, которая будет включать только документ параметров политики регистрации, в котором не будет установлено ограничение на размер почтовой базы данных. Если присвоить эту политику пользователям, она заменит собой параметры квоты. Поскольку политики-исключения имеют преимущество перед принудительными политиками, применяйте их осторожно.
Порядок применения
На рис. 2.2 показан порядок применения организационных политик, явных политик и исключений, где исключения имеют наивысший приоритет, а организационные политики - самый низкий.
2.1.3 Иерархия политик
Действующая политика для пользователя - это набор производных параметров политик, которые динамически вычисляются во время выполнения.
Значения в полях действующей политики могут определяться многими разными документами параметров политик. Каждый уровень иерархии имеет связанную с ним политику, поэтому для пользователя может существовать комбинация параметров политик, в которую входят значения, установленные на уровне организационного подразделения (organizational unit, OU), и значения, установленные в родительской политике. Разрешение этих параметров, в направлении вверх по иерархии организации, определяет действующую политику для каждого пользователя.
Наряду с организационными политиками пользователям могут присваиваться явные политики. В данном случае порядок разрешения такой: все параметры организационных политик разрешаются первыми, после чего разрешаются параметры явных политик.
Например, если администратор хочет, чтобы все пользователи применяли одинаковый формат имени в интернет-почте, он должен задать это значение в документе параметров регистрации самой высокоуровневой политики. После того как этот параметр будет установлен, его не нужно будет заново вводить во все политики-потомки. Это значение просто "наследуется" от родительской политики, если установлена опция inherit (наследование). Однако если существует группа пользователей за границей, для которых такой параметр будет создавать проблемы, то администратор может создать явную политику, применяемую только к этой группе. Комбинация явных и организационных политик обеспечивает необходимый уровень контроля и гибкости.
На рис. 2.3 показана схема, объясняющая, как все это работает. Кроме того, существует 2 инструмента, которые помогут вам определить действующую политику для каждого пользователя. Инструмент Policy Viewer показывает иерархию политик и соответствующих документов параметров, а инструмент Policy Synopsis report показывает политику, от которой происходит каждый из действующих параметров.
Наследование и взаимоотношения политик-потомков
Наследование играет важную роль в определении параметров политик для пользователя как в организационных, так и в явных политиках. При помощи отношений родитель-потомок администратор может создать иерархию политик, определяющих нужную практику администрирования в масштабе предприятия.
В иерархии политик документы политик создают взаимосвязи, а документы параметров политик определяют значения полей на основе своего местоположения в иерархии. При помощи наследования полей и используя обязательные параметры, администратор контролирует параметры, заданные по умолчанию.
Для организационных политик иерархия определяется автоматически, на основе иерархической структуры организации. Политика */Sales/Acme является потомком политики */Acme. Поскольку явные политики не подчиняются структуре организации, администратор при создании явных политик может создать иерархию на основе структуры имен. Например, администратор может создать политику с именем /Contractors, включающую несколько параметров, которые применяются только к сотрудникам- контрактникам, которых нанимают на срок от 6 месяцев до года. Однако администратору может понадобиться, чтобы работники с коротким контрактом, сроком 1-2 недели, получили только часть этих параметров. Можно создать явную политику-потомок с именем Short term/Contractors.
Итак, теперь мы готовы к обсуждению настраиваемых политик паролей.