アクセス制御リストのacl
明白な変異は、アクセス制御行列の各列には、オブジェクトを保存することを表します。 従って、各オブジェクトに関連付けられている一組のペアで、各ペアを含む件名とする権利の設定します。 件名にアクセスできることをして、関連するオブジェクトの名前を使用してこれらの権利をします。 もっと正式に:
秒での科目を設定しましょう、とrの権利の設定、システムです。 アクセス制御リスト( acl ) lは一組のペアを信用= ( (秒、 r ) :秒に含まれる秒、研究) r含まれています。 のaclにしようとする関数にアクセス制御リストを判別し、特定のオブジェクトに関連付けられてoを信用 解釈のaclは、アクセス制御リスト( ○ ) = ( (市里) : 1 < =私< ) = nのかもしれ市は、件名oハードウェアにアクセスする権利が里にします。
1つの問題は、この問題のデフォルト値の許可が必要です。 件名ではありません場合は名前のaclで、それ以上の権利を、関連するオブジェクトはありませんします。 システム上で多くの科目は、非常に大きいのacl可能性があります。 多くの場合、同じ科目が右上のファイルは、 1つの可能性を定義する"ワイルドカード"に合わせて任意の無名の科目、およびデフォルトの権利を与えています。
| 例: unicos 7.0のaclは、フォームのエントリ(ユーザー、グループ、権利)します。 場合は、ユーザーに名前のグループが、彼は、あるいは彼女は、これらの権利のオブジェクトです。 たとえば、トリプレット(ホリー、 maceranch 、 r )にユーザーを読むホリー(共和党)のオブジェクトにアクセスするときにのみホリーはmaceranchとして彼女のグループです。
いずれかのユーザーまたはグループが指定され" * "は、その文字がとられ、すべてのユーザーまたはすべてのグループにマッチします。 したがって、 (ホリー、 * 、 r )の許可を与えホリー読んで、オブジェクトのグループにかかわらず、彼女は; ( * 、 maceranch 、 r )の任意のユーザーに許可するオブジェクトを読むときには、そのユーザーグループmaceranchます。 |
アクセス制御リストの略語
いくつかのシステムアクセス制御リストを短縮します。 ファイルへのアクセス制御のための基礎をunixオペレーティングシステムでは、この品種です。 unixシステムのユーザー設定を3つに分けるクラス:ファイルの所有者は、グループオーナーのファイルは、他のすべてのユーザーとします。 各クラスを個別に設定する権利がします。
例: unixシステムの提供を読む(共和党)は、書き込み(間口) 、および( x )の権利を実行します。 ファイルを作成するときにユーザーの司教は、それは仮定して、グループ内のvulnerます。 当初、彼は司教の要求できるようにして、読み書きするファイルを、そのグループの会員からのファイルを読むことが許される、としていません他の1つのファイルにアクセスできるようにしています。 その後、パーミッションをrwにだろうオーナーは、グループのr 、およびnone他します。
unixの3つの権限がtripletsとして表されます。 最初の部分は、所有者の権利; 2つ目は、グループの権利;そして、第三に、その他の権利をします。 内の各トリプレットは、最初の位置を読んでいる場合はrまたはアクセスが許可されていない場合; wた場合は、 2番目の位置または書き込みアクセスが許可されていない場合;そして、 3日目の位置がxで実行した場合にアクセスすることが認められた場合またはではありませんします。 ファイルのアクセス権を司教のだろうrwrます。
興味深い質問は、グループの所有権をどのように割り当てるunixシステムです。 伝統的に、 unix系のシステムに割り当てる校長の効果的なプロセスのグループidを作成しています。 しかし、いくつかのケースではありません該当します。 たとえば、ラインプリンタのグループの権限を使って動作するプログラム;と言うのグループがlpdaemonます。 次に、ファイルをコピーする際に、ユーザーのスプールディレクトリで、 lpdaemonなければならスプールファイルを所有しています。 この要件を実施する最も簡単な方法は、スプールディレクトリを作るグループを所有されてlpdaemonとして、グループの所有権を継承されるすべてのファイルを作成し、そのディレクトリにあります。 いくつかのsystemsnotably 、 solarisとのsunos systemsaugmentセマンティックスファイルの保護モードを設定するときにsetgidビットは、任意のディレクトリに作成されたファイルのディレクトリには、グループの所有権を相続したディレクトリが含まれます。 |
略語のアクセス制御リストなど、これらのunixオペレーティングシステムでサポートされて、苦しむの損失の細かされます。 unixシステムでは、 5人のユーザーをすると仮定します。 アンベスできるようにしたいファイルを読んで彼女は、キャロラインへの書き込みには、デラを読んでの書き込みをし、エリザベスを実行してください。 そこには3つしかアクセス権を設定すると、 5人の手配を希望する権利(アリスを含む)は、 3つのtripletsが不十分なモードへのアクセスを許可するすべての希望します。 したがって、アリスは妥協する必要があり、より多くの権利を与えるよりもどちらかと彼女の欲望や権利を与える少なくします。 同様に、伝統的なunixのアクセス制御を許可すると言っていません"誰でもユーザーフラン" ;これを行うには、 1つのグループを作成する必要があり、すべてのユーザーフランを除いています。 このような煩雑な取り決めは、より多くのためだけで、システム管理者のグループを作成することができます。
多くのシステムでのaclの略語を増大させる本格的な救命処置します。 このスキームを使用して救命処置の略語として、デフォルトのパーミッションコントロール;明示して、必要に応じて、デフォルトのaclオーバーライドします。 正確な方法は異なります。
例: unixのibmのバージョンのオペレーティングシステム、エクスと呼ばれ、使用がacl (と呼ばれる"拡張許可" )を増大させるには、伝統的なunix略語のacl (と呼ばれる"基地の権限"を参照) 。 伝統のaclとは違って、 aixのaclを使うと、 1つを指定する権限を追加または削除してからユーザーの設定します。 unicosのように、 aixの基地にマッチしたグループとユーザーのアイデンティティをします。 特定のアルゴリズム(エクスの用語を使って、それは"基地の権限"は、 unixの略語のaclと"延長許可"は略されていないのaclエントリ)は、以下のとおりです。 どのような設定を決定するには、ユーザーのアクセス権の基地からの許可します。 延長許可が無効になっている場合は、停止します。 sは設定して、ユーザーの権限を設定します。 次のエントリを取得する権限を拡張しています。 がもうない場合は、停止します。 sは設定して、ユーザーの権限を設定します。 エントリの場合は、同じユーザーとグループとしてのプロセスへのアクセスを要求、エントリを否定しているかどうかにアクセスできます。 もしそうなら、停止します。 アクセスが拒否されます。
具体例としては、次の表現を考慮してaixのシステムのアクセス権は、ファイルのアクセス制御xyzzyます。 属性:パーミッションベースの所有者(司教) : - rwにグループ(のsys ) : r -他: - --拡張を指定する権限をr wに有効になって- u :ホリー許可-のw - u :ハイジ、 g = r wに許可証のs ys- u :マット-を否定するのw - u :ホリー、学部= g
行権限の延長は、最初のフィールドを決定し、どのような手段ライン( "を指定し"基地を上書きする権限は、 "許可"を追加する権利、および"を否定する"を削除する権利) ; 2番目の欄にかかわっ州の権利を使用して、伝統的なunixトリプレット;そして、 3日目のフィールドを定義してユーザー(で" u : " )とグループ(の" g : " )参加している。
この例では、ホリーxyzzyを読むことができたため、第4行の最初のセクションでは、延長許可を上書きして他の基地へのアクセスの許可拒否(ホリーは、どのクラスのメンバー)します。 ホリーで働いている場合は、グループの教職員、彼女はxyzzyを書くことはできません(最後の行)を読むことができます(最初の行)です。 ハイジ、ユーザー、グループのsysで働いて、そのファイルを読み書きすることができ(同グループは、ベースラインを読むの許可権限を与えハイジ;最初の行に延長を許可する権限を与え彼女の書き込み権限のセクション)します。 このように、基地の拡張を増大させる権限を許可します。 |
アクセス制御リストの作成および維持
特定の実装が異なるaclを参照してください。 いくつかの問題は、以下のとおりです。
どの科目のaclのオブジェクトを修正することができますか?
特権ユーザがある場合(たとえば、ルートにwindows ntでunixシステムまたは管理者)は、そのユーザーのaclに適用されますか?
aclサポートはグループやワイルドカード(つまり、グループ化されることができユーザーの設定に基づいて、システムの概念"グループ"またはパターンマッチング) ?
アクセス制御のパーミッションはどのように処理さ矛盾しますか? 1つのエントリを許可した場合のみの読み取り権限と書き込み権限を別の助成金だけで、これは右上のオブジェクトが対象ですか?
デフォルトの設定が認められた場合には、アクセス権のaclに修正して、またはでのみ使用されたときは、デフォルトの件名に記載されaclを明示的ではありませんか?
なぜならこれらのisuesが重要なのaclを使用して、正しいシステム上で、私たちはそれらの詳細については探求します。
どの科目のaclのオブジェクトを修正することができますか?
aclが作成したときには、権利がインスタンス化します。 主任のうちの1つは、これらの権利は、私たち自身のコールします。 possessorsの所有権のaclを変更できます。
aclを作成し、オブジェクトを作成するにも、いくつかの初期値(空の可能性が、通常より多くの創造は、最初に与えられたすべての著作権は、自身を含む、新しいオブジェクトオーバー)します。 条約によっては、件名に自分の権利のaclを変更することができます。 しかし、誰でもアクセスできるようにいくつかのシステムを操作する権利をします。
例:リレーショナルデータベースシステムの設定が含まれr - nのタプルを形成するの記録、および各要素はn組の各属性があります。 n -タプルとして保存され、これらのテーブルには、記録としての属性として行と列となります。 各テーブルの関係を定義します。
テーブルを操作するための権利を含め(関係)を読む(読書のレコードは、クエリの関係を使用して、表示または定義)は、更新(書き込みをするための表を参照)は、挿入(行を追加するために)を、削除(レコードを削除する)とドロップ(テーブルを削除)します。 右側には、各修飾子と呼ばれるオプションを付与して、これを使用すると、設定された場合を所有する権利を与えています。 テーブルの任意のユーザーがアクセスできるようにする権利を与えることができ、他のユーザーは、右側には、グラントオプションを提供しています。 したがって、所持アクセス(オプションを付与すると関連付けられている各右)が、所有権のない、著作権の譲渡をコントロールします。 |
は、特権ユーザのaclに適用されますか?
多くのシステムがユーザーに余分な権限が必要です。 よく知られている2つのルートには、スーパーユーザunixシステム上では、管理者とユーザにwindows ntおよび2000システムです。 通常、のacl (またはその縮退フォーム)が適用され、限られたユーザーがこのようなファッションをします。
例:ソラリスunixシステムの両方で使用する標準の略語のaclをunix系のシステムとの本格的なaclをします。 略語で、ルートのaclは無視されたときは、件名、しかし、フルのaclをルートにも適用されます。 |
aclサポートグループとは、ワイルドカードか?
クラシックのフォームで、 aclをサポートしていないグループやワイルドカードます。 実際には、 1つまたは他のシステムをサポートする(あるいはその両方)の大きさを制限するのaclリストの操作を行うと楽になります。 グループの特性を絞り込むことができ、どちらかのプロセスにアクセスしたりすることができるように類義語をセットユーザー(グループのメンバーの)します。
例:上記の例では、エクス、リコール延長して許可を行(に対応するフルacl )のた 権限を有効に延長
rwに指定する- u :ホリー
-許可証のw - u :ハイジ、 g =のsys
rwに許可- u :マット
-を否定するのw - u :ホリー、学部= g 最初のうちは、グループのsysのみを許可してファイルを読んでいました。 2番目の行を追加して書き込み権限をプロセスのuidとgidのハイジのsysます。 プロセスの最初の行を読み取りおよび書き込みアクセスをヒイラギのuid 、 gidを除いたときに、このプロセスは教職員が、その場合、プロセスのオブジェクトを書くことはできません(詳細については、 4行)です。 |
例: unicos提供するオペレーティングシステムのacl aixの似ているが、ワイルドカードを使用します。 たとえば、 ホリー: maceranch : r uidのプロセスを意味してホリーとgidのmaceranchを閲覧できるのは、オブジェクトでのaclが関連します。 エントリのacl ホリー: * : r uidのプロセスを意味してホリーのオブジェクトにアクセスできることをして、グループを問わず、このプロセスは、インチのエントリ * : maceranch : r すべてのプロセスを意味して読んで、オブジェクトgidのmaceranchことができます。 |
紛争
紛争が発生したとき、 2つのアクセス制御リストのエントリと同じ異なる権限を与えるのaclの話題にします。 このシステムにアクセスできるようにすることをご希望の場合は、各項目のアクセス、アクセスを拒否する場合のエントリでは、アクセスを拒否、または適用して最初のエントリにマッチした服従しています。
例:いずれかのエントリを否定するのacl aixのアクセスは、件名にかかわらず、アクセスが拒否されました場所を入力してください。 そうしないと、エントリが認められた場合にアクセスすると、件名のアクセスが許可されます。 これは、優先順位の例を拒否服用します。 |
例:シスコのルーターのアクセス制御リストの最初のエントリに適用して着信パケットにマッチします。 適用されない場合は、受信パケットが破棄されます。 これは、 2番目のアプローチの例で、デフォルトのルールを否定します。 |
aclと既定のアクセス許可
時のaclや略語のアクセス制御リストのデフォルトのアクセス権または共存(多くのunixシステム)では、 2つの方法でのアクセス権を決定します。 最初のを適用するには、適切なのaclエントリが存在する場合は、を適用すると、デフォルトのアクセス権またはその他のアクセス制御リストの略語です。 2つ目の方法は、デフォルトの権限を増大させるかの略語で、これらのアクセス制御リストには、適切なaclを入力してください。
例: aixの権限を延長して2つ目のカテゴリに陥るため、彼らを変更する権限をベースします。 |
例:パケットを入力する場合は、シスコのルータは、ネットワーク上のホストになっているルータの背後には、ルーターはありませんが、アクセスリストのエントリに転送することを可能にするためにパケット、パケットが破棄されます。 この例では、最初の方法では、否定するためには、デフォルトの許可します。 |
著作権の取り消し
失効、または防止の件名のオブジェクトにアクセスすると、件名の権利を要求してから削除しましたが、そのオブジェクトのaclをします。
件名を防ぐからアクセスするオブジェクトは単純だ。 用のエントリを対象から削除しましたが、そのオブジェクトのaclをします。 特定の権利がある場合のみを削除しても、彼らは対象から削除し、関連のエントリのaclます。
所有権を与えていない場合を制御する権利は、失効はより複雑です。
例:システムの復帰を共和党が与えられたと仮定アンナピーターの権利を更新するtしかし、今の関係を取り消すことを希望しています。 rシステムを保持した後の取消は、保護のシステムの状態でなければならないの前だったアンナピーターいかなる権利も与えました。 具体的には、ピーターはメアリー更新した場合の権利、ピーターの更新時にアンナrevokeの権利、メアリーの権利を更新しなければならない取り消されない限り、ピーター以外にも、彼女の与えられた権利を更新しました。
を実装するには、システムの関係を定義するrと呼ばれるsysauthます。 の属性の関係は、この(ユーザー名、テーブル名、付人、既読、挿入、削除、ドロップ、更新)します。 属性の値は、タイムスタンプに対応する権利が与えられた権利を示したとき(更新を除いて、これに対処する私たちはそれ以降)します。 たとえば、アンナピーターを読む権利を与えた上でのレポートの関係時間10と、ピーターはそれらをメアリー時20 、テーブルのだろう以下のとおりです。 | ユーザー | 表 | 付人 | 読む |
|---|
ピーター | レポート | アンナ | 10 | メアリー | レポート | ピーター | 20 |
アンナ場合revokeピーターの権利を読んで、メアリーとピーターから得られた彼女の後を読む権利を与えたことをアンナピーターは、彼女の権利を読んでもあれば取り消されます。 しかし、ミシェルと仮定したメアリーを読む権利も与えられた以上のレポートがあります。 それから最後の行を削除するには、表の葉のためのエントリmarynamelyは、 1つのミシェルから: | ユーザー | 表 | 付人 | 読む |
|---|
ピーター | レポート | アンナ | 10 | メアリー | レポート | ミシェル | 5 |
メアリーのでレポートを読むことができます。
アップデートの権利には、すべての値を、いくつか、またはなし。 これらの値を参照して設定することができるのレコードを変更します。 場合、いくつかの値は、 2つ目の関係と呼ばれるsyscolauth記録を更新することができ、列に服従しています。 この表にも記録タイムズ、および失効の収益としては、他の列となります。 |
例: windows ntのアクセス制御リスト
windows ntのためにこれらのファイルのアクセス制御リストを提供してntfsのパーティションにします。 windows ntのを使うと、ユーザーまたはグループを読み取り、書き込み、実行、削除、パーミッションの変更、またはファイルまたはディレクトリの所有権をします。 般的にグループ化され、これらの権利は、割り当てられたセットと呼ばれる権利を総称します。 権利のために、汎用のファイルは以下のとおりです。
アクセスできません、件名のところ、ファイルにアクセスすることはできません
読んで、どのようにしたり、指定したファイルを読むことができ件名
変更し、どのようにし、件名を読むことができ、実行、書き込み、または、ファイルを削除する
フルコントロール、件名にはすべての権利をどのようにし、ファイル
加えて、ジェネリックを使用すると、特別なアクセス権の譲渡のいずれかの6許可します。
windows ntのディレクトリにも、自分の権利概念を総称します。
アクセスできません、どのようにしているディレクトリにアクセスすることはできません件名
読んで、どのようにしたり、件名を読むことができ、ディレクトリ内のファイルを実行する
リストで、件名はどのようにしているディレクトリのリストの内容を変更するわけではありディレクトリ内のサブディレクトリ
追加、件名のところ、ファイルまたはサブディレクトリを作成する可能性があるディレクトリ
を追加したり、読んで、これを組み合わせた汎用の権利を追加したり、読み
変更し、どのようにし、件名を作成することができ、既読、実行、またはディレクトリ内のファイルの書き込みを削除することができ、サブディレクトリ
フルコントロールは、すべての著作権はどのようにし、件名には、そのディレクトリのファイルとサブディレクトリ
前と同じように、特別な総称してアクセスできるようにする権利の譲渡その他の組み合わせを許可します。
ユーザーのファイルにアクセスしたときには、最初のwindows ntのファイルのaclを調べました。 存在していない場合は、ユーザーのacl 、および任意のグループのメンバーではありませんのaclに記載され、アクセスは拒否されます。 そうしないと、いずれかのaclエントリユーザーのアクセス権を否定し、 windows ntのアクセスを否定します(これは明示的に拒否、これは最初の計算)します。 へのアクセスを明示的に否定していない場合、ユーザーは、名前のacl (いずれかのメンバーであるユーザーまたはグループ)は、ユーザーの設定には、労働組合の権利のaclから各エントリで、ユーザーの名前がします。
たとえば、ポール、クエンティン、およびユーザーのリジャイナはwindows ntシステムです。 ポールとクエンティンは、グループ内の学生です。 クエンティンリジャイナは、グループ内のスタッフとします。 のディレクトリのe : \ものを設定するには、アクセス制御リスト(スタッフ、追加) (クエンティン、変更) (学生、アクセスできません)します。 このリストの下には、最初のエントリを作成するサブディレクトリやファイルを有効リジャイナのe : \するものです。 3番目のエントリを禁止する学生は、グループのすべてのメンバーからアクセスしてディレクトリにあります。 ご希望の2つ目のエントリを削除できるようにクエンティンサブディレクトリを除けば、クエンティンは、学生グループ、およびwindows ntの明示的な否定(与えられたとして、第3のエントリ)オーバーライド任意の助成金の許可が必要です。 したがって、クエンティンにアクセスすることはできませんディレクトリにあります。
さて、リジャイナましょうサブディレクトリを作成しplughのe : \するものです。 それから彼女のポールへのアクセスを禁止するが、クェンティンを変更できるようにしたいアクセスできます。 彼女は、以下のとおりです。
- 作成のe : \もの\ plugh ;そのaclが(スタッフ、追加) (クエンティン、変更) (学生、アクセスできません)します。
- 最後のエントリを削除してのacl ; 2つ目のエントリから、これにより、クェンティンの変更にアクセスできます。
- エントリを追加します(ポールは、アクセスできません)のaclをします。
最後のステップは、余計なので、 windows ntのアクセスを否定デフォルトでは、それは安全に追加するにはとにかく、さもないと、グループの生徒に与えられた権利。 もしそれがあったら、それらの権利を取得しない限り、ご希望のポール(ポール、アクセスできません)エントリが存在します。