|
'''ACL''' ([[Angličtinaangličtina|angl.anglicky]] {{Cizojazyčně|en|'''access control list}})''', [[Češtinačeština|česky]] doslova '''přístupovýseznam kontrolnípro list'řízení přístupu'') je v oblasti [[počítačová bezpečnost|počítačové bezpečnosti]] seznam oprávnění připojený k nějakému objektu (např. List[[soubor]]u). Seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace jsous povolenyním kmůže vykonání na tomto objektuprovádět. V typickém ACL specifikuje každý záznam v seznamu předmětuživatele a operaci. Například: Záznam v ACL [''(HužvaPepa, smazat)''] pro soubor ''XYZ'' dává uživateli ''HužvoviPepa'' práva keprávo ''smazánísmazat'' souborusoubor ''XYZ''.
Když předmět žádá provedení operace na objektu v ochranném modelu ACL, systém nejprve zkontroluje seznam pro platný přístup v příkazu k rozhodnutí, zda provést operaci.
U bezpečnostního modelu používajícího ACL tak systém před provedením každé operace prohledá ACL a nalezne v něm odpovídající záznam, podle kterého se rozhodne, zda operace smí být provedena.
== Bezpečnostní modely založené na ACL ==
Jednou ze základních otázek při tvorbě bezpečnostního modelu založeného na ACL je otázka, jak bude možno editovat samotné ACL. Systémy, které používají ACL, se dají klasifikovat do dvou kategorií: '''volitelné''' (''discretionary'') a '''povinné''' (''mandatory'').
Klíčová otázka v definování nějakého ACL je otázka jak ACL editovat. Pro každý objekt - kdo může modifikovat ACL a jaké změny jsou povolené.
Systémy, které používají ACL se dají klasifikovat do dvou kategorií:
Systémy s volitelným řízením přístupu umožňují tvůrci či vlastníkovi objektu plně řídit přístup k objektu, včetně například úpravy ACL tak, aby přístup získal kdokoli jiný. U povinného řízení přístupu (též „nevolitelné řízení přístupu“) jsou všechny operace podmíněny i omezeními stanovenými [[operační systém|operačním systémem]] ještě nad rámec omezení definovaných v ACL.
# '''Výběrový''' (discretionary) a
# '''Mandátní''' (mandatory).
Tradiční systémy ACL stanovují oprávnění uživatelům jednotlivě, takže systém s velikým počtem uživatelů se poněkud obtížně spravuje. Modernějším přístupem pak jsou bezpečnostní modely založené na tzv. ''rolích'', kdy jsou oprávnění přidělována rolím (např. „správce“, „sekretářka“) a uživatelům jsou přidělovány jednotlivé role.
Systému se říká, že má výběrové řízení přístupu, jestliže tvůrce nebo vlastník objektu může plně kontrolovat přístup k objektu, včetně například provádění změn objektů ACL k udělení přístupu někomu jinému.
Systému se říká, že má mandátní řízení přístupu (také známé jako „nevýběrové řízení přístupu“ v literatuře o bezpečnosti), jestliže si vynucuje systémové omezení jenž převyšuje oprávnění uvedené v ACL.
Tradiční ACL systémy stanovují oprávnění uživatelům individuálně, takže systém s velikým počtem uživatelů se pak může stát těžkopádný.
== SíťováníPočítačové ACLsítě ==
VU síťování[[počítačová ACLsíť|počítačových odkazujesítí]] nase jako ACL označuje listseznam pravidel popisující servisní[[síťový port (software)|porty]] nebo (sítovísíťové) [[démon jmenuje ty(software)|démony]], které jsou dostupné na hostoj,počítači nebo(či na ostatníchjiném zařízení na 3[[referenční model ISO/OSI|síťové vrstvě]]), každáa su listemkaždé hostůseznam zařízení a nebo sítí, které mohou tuto službu používat. ACL mohou být jak na konkrétních [[server]]ech, tak i na [[router]]ech. Zpravidla existují oddělená ACL pro příchozí a odchozí povolenýchdata. kViz používánítéž služeb[[firewall]].
Oba jednotlivé servery stejně jako routery můžou mít síťoví ACL. Kontrolní přístupové listy mohou být zpravidla konfigurovány k řízení příchozí a odchozí dopravy. V této souvislosti jsou podobný firewallům.
{{Počítačový pahýl}}
| 