Re: Аутентификация пользователей
Пользователь:
Алексей Котиков (IP-адрес скрыт)
Дата: 25, March, 2006 21:17
> то касается вопросов определения "деструктивного инсайдера", то достаточно один раз найти такого человека и доказать ему, что это вычисляется
В принципе, согласен, но это не столь тривиальная задача на мой взгляд с учетом того что со стороны ирбиса для этого нет никаких средств, не находите? И вполне может быть что получится как раз обратный прецедент. Работник в настройках выставляет не свои данные, портит записи в ЭК или удаляет их (мало ли, может у него с утра с начальством разговор не заладился по поводу продолжения совместной деятельности), при этом, файловый сервер записывает время входа пользователя в сеть, время инициирования доступа к сетевому ресурсу, в лучшем случае, если на нем включен отладочный лог, время доступа к конкретному файлу, все. А теперь представим, что в этот момент в сети именно с этим сетевым ресурсом работает достаточно большое количество пользователей. Да, в принципе, они не могут абсолютно одновременно изменить требуемый файл и, может быть, в итоге, сравнив время редактирования записи в mst-файле с временем его модификации в логах сервера может быть и можно что-то выиграть, но опять же, время на рабочей станции и сервере должно быть абсолютно синхронизировано, на сколько я понимаю. К тому же, той же самбе нужно принудительно говорить вести достаточно детальный лог (не знаю как в случае с окнами, скорее всего тоже самое) , ведение такого детального лога постоянно, в свою очередь, создает довольно ощутимый прирост операций ввода/вывода на сервере, т.к. кроме этого протоколируется достаточно большой объем информации. Да, это параноидальная ситуация, процент возникновения которой минимален, но, тем не менее, он есть. Собственно, я не на пустом месте завел этот разговор и не зря, опять же на мой взгляд, упомянул тот момент, что сейчас в библиотеках доверия электронному каталогу практически ноль.
Как вариант решения этой проблемы, на мой взгляд, можно просто сравнивать текущее имя пользователя, полученное от ОС со своим справочником сотрудников, перекладывая всю ответственность за аутентификацию/авторизацию пользователя на средства ОС, обслуживающий персонал и на владельца аккаунта, я не думаю, что подобная доработка повлечет существенное изменение кода продукта.
> Придумывать же интерфейсы с системами - дело сложное и глючное, да и неблагодарное.
Тем не менее, ирбис в своей работе плотно сотрудничает с тем же ms office, а не реализует его функциональность, да и права доступа к той или иной базе/компоненту ирбиса полностью перекладывает на ОС, двойные стандарты, однако :))
PS. к тому же, пункт "ФИО исполнителя" в настройках не менее смешен нежели ситуация описанная выше. Для какой цели он существует если его достоверность никак нельзя подтвердить? Лишний элемент интерфейса получается. :(