Access Control List: Porovnání verzí
Smazaný obsah Přidaný obsah
značky: editace z Vizuálního editoru Možný vandalismus |
Verze 11147991 uživatele 82.150.162.254 (diskuse) zrušena - vandalismus |
||
Řádek 1:
'''ACL''' ([[angličtina|anglicky]] '''access control list''', [[čeština|česky]] doslova ''seznam pro řízení přístupu'') je v oblasti [[počítačová bezpečnost|počítačové bezpečnosti]] seznam oprávnění připojený k nějakému objektu (např. [[soubor]]u). Seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace s ním může provádět. V typickém ACL specifikuje každý záznam v seznamu uživatele a operaci. Například: Záznam v ACL [''Pepa, smazat''] pro soubor ''XYZ'' dává uživateli ''Pepa'' právo ''smazat'' soubor ''XYZ''.
U bezpečnostního modelu používajícího ACL tak systém před provedením každé operace prohledá ACL a nalezne v něm odpovídající záznam, podle kterého se rozhodne, zda operace smí být provedena
==Bezpečnostní modely založené na ACL==
Jednou ze základních otázek při tvorbě bezpečnostního modelu založeného na ACL je otázka, jak bude možno editovat samotné ACL. Systémy, které používají ACL, se dají klasifikovat do dvou kategorií: '''volitelné''' (''discretionary'') a '''povinné''' (''mandatory'').
Systémy s volitelným řízením přístupu umožňují tvůrci či vlastníkovi objektu plně řídit přístup k objektu, včetně například úpravy ACL tak, aby přístup získal kdokoli jiný. U povinného řízení přístupu (též „nevolitelné řízení přístupu“) jsou všechny operace podmíněny i omezeními stanovenými [[operační systém|operačním systémem]] ještě nad rámec omezení definovaných v ACL.
Tradiční systémy ACL stanovují oprávnění uživatelům jednotlivě, takže systém s velikým počtem uživatelů se poněkud obtížně spravuje. Modernějším přístupem pak jsou bezpečnostní modely založené na tzv. ''rolích'', kdy jsou oprávnění přidělována rolím (např. „správce“, „sekretářka“) a uživatelům jsou přidělovány jednotlivé role.
==Systém souborů založený na ACL==
List je [[datová struktura]], obvykle tabulka obsahující položky specifikující práva uživatele nebo skupiny k určitým objektům, jako jsou programy, procesy, nebo soubory. Tyto položky známé jako položky pro řízení přístupu (ACE) ve Windows, [[OpenVMS]] a [[Mac OS X]] operačních systémech. Každý dostupný objekt obsahuje identifikator v ACL. Specifická přístupová práva rozhodují o povolení nebo oprávnění, jako který uživatel ma právo čtení, zápisu, nebo provedení objektu. V některých provedeních může ACL řídit zdali může uživatel, nebo skupina uživatelů měnit ACL na nějaký objekt.
Přestože je ACL standardem [[POSIX]], tak je to koncept s hodně různými implementacemi v různých operačních systémech. Ochranný koncept POSIX .1e a .2c byl stažený když se stal jejich rozsah příliš široký a práce by nebyla kompletní, ale dobře propracované části definující ACL se široce implementovaly a známe je jako „POSIX ACL“.
| |||