Vaal: Новая страница: «'''Access Control List''' или '''ACL''' — список контроля доступа, который определяет, кто или что может…»

2017-05-18T11:38:29Z

Новая страница: «'''Access Control List''' или '''ACL''' — список контроля доступа, который определяет, кто или что может…»

Новая страница

'''Access Control List''' или '''ACL''' — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Списки контроля доступа являются основой систем с избирательным управлением доступа.

== Введение ==
В типичных ACL каждая запись определяет субъект воздействия и операцию: например, запись ''(Vasya, delete)'' в ACL для файла ''XYZ'' даёт возможность пользователю ''Vasya'' удалить файл ''XYZ''.

В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.


При централизованном хранении списков контроля доступа можно говорить о ''матрице доступа'', в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.

Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «'''Управление доступом на основе ролей'''», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются ролями.

== Файловые системы с ACL ==
В файловых системах для реализации ACL используется идентификатор пользователя процесса (UID в терминах POSIX).

Список доступа представляет собой структуру данных (обычно таблицу), содержащую записи, определяющие права индивидуального пользователя или группы на специальные системные объекты, такие как программы, процессы или файлы. Эти записи также известны как ACE (Access Control Entries) в операционных системах Microsoft Windows и OpenVMS. В операционной системе Linux и Mac OS X большинство файловых систем имеют расширенные атрибуты, выполняющие роль ACL. Каждый объект в системе содержит указатель на свой ACL. Привилегии (или полномочия) определяют специальные права доступа, разрешающие пользователю '''читать''' из (read), '''писать''' в (write), или '''исполнять''' (execute) объект. В некоторых реализациях ACE (Access Control Entries) могут определять право пользователя или группы на изменение ACL объекта.

Концепции ACL в разных операционных системах различаются, несмотря на существующий «стандарт» POSIX. (Проекты безопасности POSIX, .1e и .2c, были отозваны, когда стало ясно что они затрагивают слишком обширную область и работа не может быть завершена, но хорошо проработанные части, определяющие ACL, были широко реализованы и известны как «POSIX ACLs».)

== Сетевые ACL ==
В сетях '''ACL''' представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня модели OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.

== Ссылки ==
* [http://www.suse.de/~agruen/acl/linux-acls/online/ POSIX Access Control Lists on Linux]
* [http://www.rsbac.org/documentation/rsbac_handbook/security_models#access_control_lists_acl RSBAC Access Control Lists on Linux]
* [http://phpgacl.sourceforge.net/ Generic Access Control Lists for PHP/Perl]
* [http://www.c2.com/cgi/wiki?AccessControlList C2-Wiki Discussion and Relational Implementation]
* [http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213757,00.html Information Security Definitions: ACL]
* [http://wiki.kaspersandberg.com/doku.php?id=howtos:acl Easy and detailed ACL howto for linux]
* [http://msdn.microsoft.com/msdnmag/issues/05/03/SecurityBriefs/default.aspx Security Briefs: Access Control List Editing in .NET]
* [http://msdn2.microsoft.com/en-us/library/ms229742.aspx MS Windows .NET ACL Technology]
* [http://wt.xpilot.org/publications/posix.1e/download.html What could have been IEEE 1003.1e/2c]
* [http://web.archive.org/web/20051102080247/http://manuals.info.apple.com/en/File_Services_v10.4.pdf Apple Mac OS X Server version 10.4+ ''File Services Administration'' Manual (see pages 16-26)]
* [http://aclbit.sourceforge.net/ ACLbit — ACL Backup and Inspect Tool for Linux]
* [http://www.u-networks.net/glavnaya/nastrojka-spiskov-dostupa-na-morshrutizatore-cisco/ Настройка и описание ACL на маршрутизаторе Cisco]

ACL - История изменений

Vaal: Новая страница: «'''Access Control List''' или '''ACL''' — список контроля доступа, который определяет, кто или что может…»