home *** CD-ROM | disk | FTP | other *** search
/ Netware Super Library / Netware Super Library.iso / nov_info / nw386 / bind-6.386 < prev    next >
Text File  |  1989-07-27  |  8KB  |  265 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11. Chapter 6
  12. Bindery
  13.  
  14.  
  15.  
  16. The NetWare 386 bindery is a database that contains
  17. information about resources such as file servers, print
  18. servers, and database servers and about the users who
  19. access and use those resources. For example, a print
  20. server that advertises its services on the internet is
  21. a resource and has its name and internetwork address
  22. stored in the bindery of every file server on the
  23. internet. (Because of this, the bindery can also be used
  24. as a resource directory where clients can extract a
  25. listing of all resources available on the network.)  The
  26. bindery also contains information on each client and is
  27. the basis on which NetWare login security mechanisms are
  28. built, including password protection, client accounting,
  29. and client restrictions. The following sections are
  30. discussed:
  31.  
  32.    ■ Bindery Files
  33.    ■ Bindery Components
  34.    ■ Bindery Security
  35.  
  36.  
  37.  
  38.  
  39. Bindery Files
  40.  
  41. The implementation of the NetWare 386 bindery consists
  42. of three files located in the SYS:SYSTEM directory:  one
  43. file for bindery objects, one for properties, and one for
  44. property data sets. The bindery supports up to 16,777,216
  45. objects and 16,777,216 properties. A bindery object name
  46. appears in a 48-byte field, one length byte followed by
  47. 1 to 47 bytes for characters. Like directories and files, the bindery supports multi-
  48. byte character sets and two-byte wildcard searching. The
  49. implementation of the bindery under NetWare 386 as
  50. contrasted to its implementation under 286 is shown
  51. below.
  52.  
  53. ------------------------------------------------------------
  54.               Changes To The Bindery
  55.  
  56. Netware 386 Bindery             Netware 286 (v2.1x) Bindery 
  57.  
  58. Max Number of Objects           Max Number of Objects
  59.     16,777,216                      65,536
  60.                                 (Number of Properties % 2)
  61.  
  62. Max Number of Properties        Max Number of Properties
  63.     16,777,216                      131,072
  64.                                 (Number of Objects x 2)
  65.  
  66. Bindery Files                   Bindery Files
  67.    NET$OBJ.SYS                     NET$BIND.SYS
  68.    NET$PROP.SYS                    NET$BVAL.SYS
  69.    NET$VAL.SYS
  70.  
  71. ------------------------------------------------------------
  72.  
  73. Bindery Components
  74.  
  75. The bindery is comprised of components called objects and
  76. properties. An object can be a user, user group, file
  77. server, print server, or any other logical or physical
  78. entity on the network that has been given a name. Each
  79. object also has associated with it a set of
  80. characteristics called properties, and each property has
  81. a property value.
  82.  
  83. Property values fall into one of two categories:  set
  84. properties or item properties. A set property has
  85. associated with it a list or set of object IDs that are
  86. contained in the property's value. An item property has
  87. associated with it a property value that can contain any
  88. type of data; typically it contains a numeric value, a
  89. string, or a structure. These bindery components are
  90. shown in the following graphic.
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104. Each object can have multiple properties associated with
  105. it. For example, a user's set of properties may include
  106. a password, an account balance, and a list of groups the
  107. user is a member of. A server, rather than having
  108. multiple properties, might have just one property that
  109. contains its network address.
  110.  
  111. The property's value contains the actual data that is
  112. associated with the property. A user's password, for
  113. example, is stored in the property value associated with
  114. the password property, a user's account balance in the
  115. property value associated with the account balance
  116. property, and so on. Although a property can only have
  117. one value, the value can contain multiple segments, each
  118. segment being 128 bytes long. An example bindery object
  119. with its associated properties and their values is shown
  120. in the following figure.
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136.  
  137.  
  138.                                    Bindery Security
  139.  
  140. Each server
  141. administers the security for its local resources,
  142. services, and client accounts through its bindery. The
  143. bindery's security and the file system's security are
  144. independent. The bindery does not store any of the file
  145. system's directory trustee information. Directory
  146. trustees are stored in directory entries which are an
  147. integral part of the NetWare physical directory
  148. structure. The only relationship between the bindery and
  149. the file system is that the file system stores each
  150. directory's trustee in the form of an object ID. For more
  151. information on file system security and directory
  152. trustees, refer to Chapter 5, File and Directory
  153. Security. The bindery provides a flexible yet secure operating
  154. environment through several security measures, as shown
  155. below.
  156.  
  157. -----------------------------
  158. Bindery Security Measures
  159.  
  160. *  Security Access Levels
  161.  
  162. *  Privileges
  163.  
  164. *  Encrypted Passwords
  165.  
  166. -----------------------------
  167.  
  168.  
  169.  
  170. Security Access Levels
  171.  
  172. Each object and property in the bindery has a security
  173. access level associated with it which controls the read
  174. and write access to a bindery object and its properties.
  175. The object security and the property security are each
  176. two nibbles; the low-order nibble controls the read
  177. security and the high-order nibble controls the write
  178. security. The following values are defined for each
  179. nibble:
  180.  
  181. Privileges
  182.  
  183. The bindery of each server also enforces security by
  184. supporting various degrees of privileges: Supervisors,
  185. Workgroup Managers, Users.
  186.  
  187. Each bindery has a SUPERVISOR object that is granted
  188. special bindery security privileges. The supervisor is
  189. allowed to grant special administrative privileges to
  190. other objects through the security equivalence feature.
  191. The security equivalence feature allows a bindery object
  192. to be granted the same access rights as another object.
  193. The security equivalence feature is also useful in
  194. defining user groups. User groups are a means of
  195. logically organizing users into workgroups so that the
  196. system supervisor can simplify the security process.
  197.  
  198. NetWare 386 supports two new properties called the
  199. WG_MANAGER and OBJ_SUPERVISOR properties. WG_MANAGER is
  200. a set property associated with object SUPERVISOR.
  201. Supervisors can create this property with the SYSCON
  202. utility and thus give limited supervisory privileges to
  203. one or more individuals that are designated as workgroup
  204. managers.
  205.  
  206. If an object's ID appears in WG_MANAGER's data set, the
  207. object (a workgroup manager) can create new bindery
  208. objects. In the figure below, for example, Ed's object
  209. ID is in the supervisor's WG_MANAGER's data set;
  210. therefore, Ed is a workgroup manager and can create new
  211. bindery objects.
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226.  
  227. Any objects that a workgroup manager creates have
  228. associated with them an OBJ_SUPERVISOR set property that
  229. includes the creating workgroup manager's object ID. For
  230. example, if Ed creates a user, Robert, Ed's object ID is
  231. in the OBJ_SUPERVISOR set property associated with
  232. Robert.
  233.  
  234.  
  235.  
  236.  
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249.  
  250. It is also important to note that if object Ed's ID
  251. appears in object Robert's OBJ_SUPERVISOR's data set,
  252. object Ed has all rights to object Robert, whether or not
  253. object Ed's ID appears in the SUPERVISOR's WG_MANAGER's
  254. data set.
  255.  
  256. Encrypted Passwords
  257.  
  258. In addition to the security access levels and the
  259. SUPERVISOR object and WG_MANAGER property, the bindery
  260. provides login security with the password property. With
  261. NetWare 386, the bindery supports encrypted passwords at
  262. the workstation and on the wire. You can also disable
  263. password protection if you desire.
  264.  
  265.