next up previous
Next: Об Этом Документе Up: Access Control Lists Module Previous: Access Control Lists Module

Основы

Списки Контроля Доступа определяют какой субъект (пользователь, роль RC или группа ACL) к какому объекту (какого типа объекта) может иметь доступ с каким запросом (обычно запросами RSBAC и особенностями ACL).

Если здесь нет ACL вхождения для субъекта к объекту, то права к родительскому объекту унаследованы. Наследственность может быть ограничена масками наследственности.

Наверху иерархии наследственности находится значение ACL по умолчанию для каждого типа объекта (ФАЙЛ, КАТАЛОГ, ...).

Для изменения значения ACL объекта вам необходимы специальные права Контроля Доступа для этого объекта. Специальные права Forward позволяют дать права, которыми ва обладаете, кому-нибудь еще, но вы не сможете их в последствии отменить.

Специальные права Supervisor включают все остальные права, которые никогда не могут быть замаскированы (если не разрешено в конфигурации ядра) и могут быть установлены только пользователями имеющими их. Эти права установлены для пользователя 400 в его конфигурации ACL по умолчанию, которые не могут быть прочитаны с диска во врем работы, например во время новой установки.

Поддерживаются все типы объекта. Только объекты IPC, USER и PROCESS имеют общий ACL по умолчанию, который всегда наследуется всеми объектами этого типа - эти объекты слишком недолговечны для администрирования полезных индивидуальных ACL.

От версии 1.0.9a, есть неизменная ACL группа Everyone (группа 0), которая по определению содержит всех легальных пользователей, таких как группы определенные пользователем.

Групповой менеджмент позволяет каждому пользователю определять глобальные и частные группы без ограничений. Глобальные группы могут быть использованы любым пользователем, приватные только владельцем группы. Также только владельцу группы позволено добавлять или удалять членов группы или изменять установки группы название, владелец и тип. Так как владелец может быть изменен, группа является передаваемой (таким образом ее можно сделать недоступной для настоящего владельца). Эта особенность могла бы стать дополнительной в будущих выпусках потому, что это может использоваться для нападений.

Права группы могут быть добавлены к правам пользователя и роли. Так как нет глобального группового администратора, каждый пользователь может выполнять работу по обслуживанию благоразумной структуры группы, например пользователь secoff.

Только упоминание: Пособия к другим сетевым PC системам могут быть не лишними ...;-)


next up previous
Next: Об Этом Документе Up: Access Control Lists Module Previous: Access Control Lists Module