Списков контроля доступа ACL
Очевидным вариантом контроля доступа матрица для хранения каждой колонке с объектом он представляет. Таким образом, каждый объект имеет связанные с ним набор пар, в каждой паре, содержащий тему и набор прав. Названные вопросу может получить доступ к объекту, связанные с использованием любого из этих прав. Более формально: Пусть S будет набор вопросов, и R комплекс прав, системы. В список контроля доступа (ACL) л - это набор пар л = ((а, р): ы, включенных в S, р, включенных в R). Пусть acl быть функцией, определяющей список контроля доступа, л, связанный с определенным объектом o. Толкование в список контроля доступа acl (о) = ((Чжечжу, ри): 1 <= я <= н) заключается в том, что вопрос может просматривать Чжечжу о использовании любого права в ри. Один вопрос - это вопрос умолчанию разрешения. Если вопрос не указанным в ACL, он не имеет права на связанных объекта. В системе со многими вопросов, ACL может быть очень большим. Если многие темы имеют такое же право за файл, можно определить "символ" на найдено ни неназванных предметов, и дать им права по умолчанию. | ПРИМЕР: ЮНИКОС 7,0 список контроля доступа имеют записи в форме (пользователи, группы прав). Если пользователь находится в название группы, он или она имеет те права на объект. Например, triplet (holly, maceranch, т) дает пользователю holly читать (р) доступа на объект только тогда, когда holly имеет maceranch как ее группа.
Если любой пользователь или группа определяется как "*", что характер принятых для соответствия всех пользователей или все группы. Таким образом, (holly, *, т) дает holly образом разрешения на объект независимо от группы она в; (*, Maceranch, р) позволяет любому пользователю читать разрешения на объект, когда пользователь находится в группе maceranch. |
Сокращения списков контроля доступа Некоторые системы сокращайте списки контроля доступа. Основой для файла контроля доступа в UNIX операционная система от этой разновидности. UNIX систем разделить набор пользователей на три категории: владелец файла, группа владельца файла, и всех прочих пользователей. Каждый класс имеет отдельный набор прав. ПРИМЕР: UNIX системы обеспечивают читать (р), писать (жен.), и исполнения (х) прав. Когда пользователь епископ создает файл, предположим, что она в группе уязвимость. Первоначально епископ просит о том, что он сможет прочитать и записать данные в файл, что членов этой группы было разрешено чтение файла, и что никто другой не имеют доступа к файлу. Тогда разрешений будет rw для владельца, для группы р, и ни для других.
UNIX разрешений представлены три тройни. Первый является владельцем прав; Второй группы прав; И, в-третьих, других прав. В каждом triplet, первая позиция р образом, если доступ разрешается или, если он не; Вторая позиция w написать если доступ разрешается или, если он не; И третья позиция х, если выполнять доступ разрешается или если он - нет. В разрешения епископа файла будет rwr.
Интересный вопрос - как UNIX систем присвоить группе собственности. Традиционно UNIX систем назначить эффективное основные группы ID в процессе создания. Но в некоторых случаях это нецелесообразно. Например, предположим, линии принтера программа действует с помощью группы разрешений; Сказать своей группе lpdaemon. Затем, когда пользователь копии файла в каталоге spool, lpdaemon должны владеть spool файл. Простейший способ обеспечить это требование сделать spool каталог группы принадлежат lpdaemon и иметь группу собственности унаследовал все файлы созданные в этом каталоге. Некоторые systemsnotably, Solaris и SunOS systemsaugment семантику файлов способов защиты посредством установления setgid бит на каталог, когда любые файлы созданные в директории имеют наследовать группы собственности на содержащий каталог. |
Сокращения списков контроля доступа, такие, как те, которые поддерживаются на операционной системы UNIX, страдают от потери детализации. Предположим, одна система UNIX имеет пять пользователей. Энн хочет чтобы Бет читать ее файл, Кэролайн написать его, Делла читать и писать к ней, и Элизабет исполнить его. Поскольку есть только три комплекта разрешений и пять желаемых механизмов прав (в том числе Алиса), три тройни недостаточно чтобы все желаемые виды доступа. Следовательно, компромисс должен Алиса, и либо дать кто-то более прав, чем она желает давать или кто-то меньше прав. Кроме того, традиционные UNIX контроля доступа не позволяет от одного до сказать ", но каждый пользователь Fran"; Для этого надо создать группы всех пользователей за исключением Fran. Такой механизм является весьма сложной, тем более что только системный администратор может создавать группы.
Многие системы увеличить сокращений список контроля доступа с полномасштабной список контроля доступа. Эта система использует сокращенные список контроля доступа по умолчанию разрешения контроля; Четкого ACL переопределяет значения по умолчанию в случае необходимости. Точный метод по-разному. ПРИМЕР: IBM версию на UNIX операционной системы, называемых AIX, использует ACL (так называемый "продлил разрешения") для расширения традиционных UNIX сокращений ACL (так называемый "базовый разрешения"). В отличие от традиционных список контроля доступа, ACL в AIX позволяет указать разрешения следует добавить или исключить из пользователей установить. Как ЮНИКОС, AIX баз матчей на группы и пользователя. Конкретный алгоритм (AIX, используя терминологию, в которой "база разрешения" являются UNIX сокращений и список контроля доступа "продлил разрешения" являются unabbreviated ACL записей) состоит в следующем. Определите набор S разрешений пользователь с базовым разрешениям. Если продлил разрешения отключены, конец. Множество S является пользователем набор разрешений. Получить следующей записи в расширенных разрешений. Если больше нет, конец. Множество S является пользователем набор разрешений. Если записи одного пользователя и группы, как процесс запрашивает доступ, определить, если вступление лишает доступа. Если да, конец. Доступ. Изменить S, как диктуется разрешения на въезд.
В качестве конкретного примера рассмотрим следующие представительства в AIX системы контроля доступа разрешения на файл xyzzy. атрибуты: базовый разрешения собственника (епископ): rw группа (систем): р -- другие: --- продлил разрешения позволяет указать rw - п: holly разрешение w - п: heidi, г = систематическое разрешение rw - п: матовая отрицать - w - п: holly, г = факультета
В продлил разрешения линий, первое поле определяет, какую линию средств ( "уточнить", чтобы переопределить базовый разрешения ", разрешение", чтобы добавить прав, и "отказать", чтобы удалить человека); Второй местах говорится соответствующих прав, используя традиционных UNIX triplet; и третье поле определяет пользователя ( "у:") и группы ( "г") участвуют.
В этом примере holly можете прочитать xyzzy поскольку первая и четвертая строки в продлил разрешения разделе переопределить базовый разрешения отказ в доступе к другим (к классу которых holly является членом). Если holly работает на факультете группы, она не может написать xyzzy (в последней строке), но может читать ее (первая строка). Пользователь heidi, работая в группе систем, могут читать и писать в файл (группа строку в базу разрешений дает heidi чтению; Первой линии позволяют в выдвинутом разрешений раздел дает ей написать разрешения). Таким образом, продлен разрешения увеличить базу разрешений. |
Создание и ведение списков контроля доступа Конкретные реализации список контроля доступа отличаются в деталях. Некоторые вопросы заключаются в следующем. Какие вопросы могут изменять ACL объекта? Если есть привилегированного пользователя (например, в корневой системы UNIX или администратора в Windows NT), сделать список контроля доступа применяются к пользователю? Ли ACL группы поддержки или символы (то есть, пользователи могут быть сгруппированы в наборы на основе системы понятие "группа" или по схеме соответствия)? Как противоречивы контроля доступа разрешения делать? Если одна позиция предоставляет привилегии только читать, а другой писать гранты привилегий только, что право имеет предметом над объектом? Если умолчанию допускается, так ACL разрешения внести в него изменения или по умолчанию используется только тогда, когда вопрос прямо не упоминается в ACL?
Поскольку эти isues имеют решающее значение для правильного применения список контроля доступа в системе, мы будем изучать их более подробно. Какие Предметы Можно Изменение объекта в ACL? Когда ACL создан, человека инстанцирован. Главным из этих прав является одной мы будем называть собственными. Обладающие в собственном могут изменять ACL.
Создание объекта также создает свой ACL, с некоторыми первоначальной стоимости (возможно, пустой, но чаще автор изначально предоставлены все права, включая собственную, на новый объект). В конвенции, с учетом собственных прав допускается изменять ACL. Однако некоторые системы позволяют любому человеку, имеющему доступ к манипулировать правами. ПРИМЕР: В реляционной базы данных системы R содержит наборы н - tuples, входящих в отчетах, и каждый элемент каждой н - кортеж имеет атрибуты. Эти н - tuples хранятся, как таблицы, с записями в качестве строк и атрибутов, как колонны. Каждая таблица определяет связи.
Права манипулирования таблица (связи), относятся следующим образом (для чтения строк, запросов, используя связи, или определения мнения), информация (для записи в таблицу), добавить (для добавления строк), удалить (для удаления строк), и падение (для удаления таблицы). Каждый имеет право модификатора, называемые субсидии вариант, который позволяет если установлен владелец дать право другому. Любой пользователь имеет доступ к таблице может дать права на любого другого пользователя, при условии, что право на субсидию вариант. Таким образом, обладание доступа (и грант вариант, связанные с каждым право), а не собственности, контроля передачи прав. |
Ли список контроля доступа Применить к Привилегированный пользователь? Многие пользователи систем с дополнительными привилегиями. Два наиболее известных являются коренными супер пользователя по UNIX систем и администратор пользователей Windows NT и 2000 систем. Как правило, список контроля доступа (или их перерасти формы), применяются в ограниченном мода на таких пользователей. ПРИМЕР: Solaris UNIX системы используют как сокращенные список контроля доступа стандарта для систем UNIX и полномасштабной ACL. Сокращения в список контроля доступа игнорируются, когда это корневой вопрос, но полный список контроля доступа применяться даже к корневой. |
Ли ACL групп поддержки и Вилдкардс? В своей классической форме, не список контроля доступа группы поддержки или подстановочные знаки. На практике, системы поддержки той или другой (или оба) ограничить численный состав ACL и сделать манипуляции списки легче. Группа можете уточнить характеристики процессов, которые будут допускаться или синоним набор пользователей (члены группы). ПРИМЕР: В AIX выше примере, напомнить о том, что продлил разрешение линий (что соответствует полному ACL) были продлил разрешения позволяет
указать rw - п: holly
разрешение - w - п: heidi, г = систематическом
разрешение rw - п: матовая
отрицать - w - п: holly, г = факультета Первоначально, группа систем не читал разрешение только на файл. Вторая строка добавляет написать разрешение на процессы с UID heidi и ГИД систем. Первая строка дает процессов с UID holly читать и писать доступа, за исключением случаев, когда ГИД этого процесса является кафедра, и в этом случае процесс не может писать на объект (см. четвертую строку). |
ПРИМЕР: В ЮНИКОС операционная система предоставляет список контроля доступа схожи с AIX, но позволяет подстановочные знаки. Например, holly: maceranch: р означает, что процесс, UID и holly ГИД maceranch может читать объект, с которым связан ACL. В ACL запись holly: *: р означает, что процесс с UID holly может получить доступ к объекту, независимо от группы, чтобы процесс дюйма и въезда *: maceranch: р означает, что любой процесс, ГИД maceranch может читать объект. |
Конфликты А конфликт возникает, когда два список контроля доступа записи в том же ACL давать различные разрешения этого вопроса. Система может обеспечить доступ любого элемента, если бы доступ, запретить доступ любого элемента, если бы отказать в доступе или применить первой позиции, что соответствует теме. ПРИМЕР: Если въезда в AIX отрицает доступа ACL, этот вопрос отказано независимо от местонахождения, что вступление. В противном случае, если какие-либо записи предоставлен доступ, вопрос предоставляется доступ. Это пример отказа принимая силу. |
ПРИМЕР: маршрутизаторы Cisco применяются первый список контроля доступа, запись, которая соответствует приходящего пакета. Если никто не относится, приходящего пакета часть отбрасывается. Это пример второго подхода, по умолчанию правило отрицать. |
Список контроля доступа по умолчанию и разрешения Когда список контроля доступа и сокращенные списки контроля доступа или доступа по умолчанию прав сосуществовать (как на многих UNIX систем), существуют два способа определения прав доступа. Первый применяться соответствующие ACL въезда, если таковой существует, и применять по умолчанию разрешения или сокращенные списки контроля доступа иное. Второй способ - это увеличение разрешения по умолчанию или сокращенные списки контроля доступа с теми в соответствующие ACL запись. ПРИМЕР: В AIX продлил разрешения попасть второй категории, поскольку они изменяют основы разрешения. |
ПРИМЕР: Если пакет вступает в маршрутизатор Cisco предназначено для пребывания в сети за маршрутизатором, но маршрутизатор не имеет доступа список въезда, которая позволяет пакета, которые будут переданы, межсетевой часть отбрасывается. Это пример первого способа, потому что по умолчанию разрешения отрицать. |
Аннулирование человека Аннулирование или профилактики одной из субъекта доступа объекта, требует, чтобы вопрос прав может быть исключен из объекта ACL.
Предупреждение предметом доступ объекта прост. Данные по этому вопросу исключена из объекта ACL. Если только конкретные права, следует исключить, они удаляются от соответствующих вопросу вступления в ACL.
Если собственность не контролирует предоставление прав, отмена является более сложным. ПРИМЕР: Возврат к системе Р. Предположим, Анна дала Питер обновить прав на отношении T, а теперь хочет отменить их. Система R считает, что после отмены, защита состояние системы должно быть как было до Петра Анна дали никаких прав. В частности, если Петр дал Мэри обновление человека, когда Анна отменяет Петра обновление человека, Мэри обновление человека должны быть отменены, если кто-то кроме Питера оказывает также ее обновление человека.
Для реализации этого, система R определяет связи призвал Sysauth. Атрибуты этой связи являются (пользователя, стол, лица, Читайте, Вставить, Удалить, Drop, Update). Значения атрибутов соответствующие права с указанием времени, когда право было уделено (кроме обновления, которые мы будем рассматривать позже). Например, если Анна дал Питер образом права на связи Доклады на момент 10, а Петр дал им Марии на время 20, таблица будет выглядеть следующим образом. | Пользователь | Таблица | Лицо | Читать |
|---|
Питер | Доклады | Анна | 10 | Мэри | Доклады | Питер | 20 |
Если Анна отменяет Петра образом человека, и Мэри получили ее читать человека из Питера после Анна дал их Петр, читать ее права также будут отменены. Однако, предположим, что Мишель был также Мэри образом права на отчеты. Затем исключить последнюю строку в таблице остается запись Marynamely, один из Мишель: | Пользователь | Таблица | Лицо | Читать |
|---|
Питер | Доклады | Анна | 10 | Мэри | Доклады | Мишель | 5 |
Так Мэри сможете прочитать отчеты.
Обновление право имеет значение Все, Некоторые или Нет. Эти значения относятся к набору строк, которые могут быть изменены. Если значение Некоторые, второй связи призвал Syscolauth записей колонки, что этот вопрос можно обновить. Эта таблица также отчеты раза, а отмена, как и для других столбцов. |
Пример: Windows NT списки контроля доступа Windows NT предоставляет доступ списки контроля для этих файлов на NTFS разделы. Windows NT позволяет пользователю или группе читать, писать, выполнять, удалять, менять разрешения, или брать на себя ответственность за файла или каталога. Эти права обычно группируются в установленных наборов называемых общих прав. Обычного человека файлы являются следующие. нет доступа, в которой вопрос не может открыть этот файл образом, предметом которой могут читать или исполнять файл изменения, в соответствии с которым предметом может читать, исполнять, писать, или удалить файл полный контроль, когда вопрос все права на файл
Кроме того, общие права доступа позволяет специального назначения любого из шести разрешений.
Windows NT каталоги также имеют свои собственные понятия общего права. нет доступа, в которой вопрос не может получить доступ к каталогу образом, предметом которой могут читать и выполнять файлы в каталоге список, в котором вопрос может просматривать содержимое директории и может меняться в подкаталог этого каталога добавить, предметом которой могут создавать файлы и подкаталоги в каталоге добавлять и читать, которая сочетает в себе общие права добавлять и читать изменения, в соответствии с которым предметом можно создать, читать, исполнять или записывать файлы в директорию и может удалить подкаталоги полный контроль, в соответствии с которым предметом имеет все права на файлы и подкаталоги в каталоге
Как и прежде, общий специальные права доступа позволяет уступки другие комбинации разрешений.
Когда пользователь получает доступ к файлу, Windows NT, во-первых, рассматриваются файла ACL. Если пользователь не присутствует в ACL, и не является членом какой-либо группы, перечисленные в ACL, доступ отрицается. В противном случае, если любой ACL вступления отрицает доступа пользователей, Windows NT отрицает доступа (это прямого отказа, которая рассчитывается в первую очередь). Если доступ прямо не отказывают, и пользователь, указанным в ACL (либо как пользователь или член группы), у пользователя есть союз набор человека от каждого ACL запись, в которой пользователь имеет имя.
В качестве примера предположим, Пол, Квентин, и Регина являются пользователями в системе Windows NT. Пол и Квентина в группу студентов. Quentin Регина и в группе сотрудников. В каталоге е: \ материал имеет свой список контроля доступа для набора (персонал, добавить), (Quentin, изменение), (студентов, не имеющих доступа). Согласно этому списку, первую позицию Регина позволяет создавать подкаталоги или файлы в е: \ вещи. Третий запрещает въезд всех членов группы студентов из доступа к каталогу. На второй позиции позволит Quentin удалить подкаталоги, за исключением того, что Квентин в группу студентов, и в Windows NT прямо отрицать (как приводится в третьей позиции) перекрывает любые гранты разрешения. Поэтому Квентин не может получить доступ к каталогу.
Теперь, Регина создайте подкаталог plugh в е: \ вещи. Она запрещает доступ Павла, но хочет чтобы Квентин на изменение доступа. Она делает следующее. - Создать е: \ вещи \ plugh; ACL является его (персонал, добавить), (Quentin, изменение), (студентов, не имеющих доступа).
- Исключить последнюю запись в ACL; От второй позиции, это дает доступ Quentin изменения.
- Добавить въезда (Павел, нет доступа) к ACL.
Последним этапом является излишним, поскольку Windows NT отрицает доступа по умолчанию, но это безопаснее, чтобы добавить его в любом случае, чтобы группы учащихся быть прав. Если это произойдет, Пол получил бы эти права, если (Павел, нет доступа) вступления присутствовали. в этой статье идет речь добавил Фред Фостер
|