访问控制列表韧带
一个明显的变体访问控制矩阵存储每栏与对象,它代表了。 因此,每个对象有与此相关的一套双,每双载有主题和一套权利。 被点名的题目可以查阅相关的对象使用任何这些权利。 更正式地:
设s是一套科目,及r一整套权利,一种制度。 访问控制列表( acl ) l是一套双升= ( (西班牙文,俄文和阿拉伯文) :保安局包括西班牙文,俄文和阿拉伯文包括在r ) 。 让acl的一个功能,决定了存取控制清单升同某一特定对象澳 释义的存取控制清单劳工处助理处长(海外) = ( (驷,日) : 1 < = i < = n )的是,受硅可以进入o使用任何权利,在扶轮社。
其中一个问题是此事的默认许可。 如果主体不是人名单中,前交叉韧带,它没有权利相关的物体。 就制度与很多科目,前交叉韧带可能会非常大。 如果很多科目有同样的权利,超过档案,就可以界定一个"外卡" ,以配合无名科目,让他们有违约的权利。
| 例如: jclin 7.0的acl有参赛作品的形式(用户,组,权利) 。 如果用户是在指定的小组,他或她有那些权利的对象。 举例来说,三重(冬青, maceranch , r )上给用户冬青阅读( r )的接入的对象只有当冬青已maceranch作为她的集团。
如果任何一方的用户或组指定为" * " ,即品格,是采取以配合所有用户或所有群体。 因此, (冬青, * , r )上给出了冬青读权限以上的对象不分集团,她是在; ( * , maceranch , r )上给出任何用户读权限以上的对象时,该用户是在该组maceranch 。 |
缩写的访问控制列表
有些制度缩写准入管制清单。 依据档案存取控制操作系统是这个品种。 unix系统分开设置的用户分为三大类:主人的档案,该集团拥有人的档案,以及所有其他用户。 每班有一个单独设置的权利。
例如: unix系统提供阅读( r )的,写( w )时,并执行( x )的权利。 当用户主教创建一个文件时,以为这是在该集团受害。 最初,主教,请他能够读取和写入文件,即工作组成员不准从文件中读入,并没有其他人进入档案。 那么,权限将rw以主人,随r集团,并没有其他。
unix的权限都派代表作为三个三胞胎。 首先是所有者权益;第二,群体的权利;以及第三,其他权利。 每个三重,第一的位置是r ,如果读取获准或被如果不是;第二位是w ,如果写访问获准或被如果不是;和第三位的是x ,如果执行准入获准或若不是。 权限为主教的档案将rwr 。
一个有趣的问题是,如何在unix系统集团转让所有权。 传统上, unix系统转让有效主组id的创造过程。 但在某些情况下,这是不恰当的。 举例来说,假设打印机线工程计划用组权限;说其集团是lpdaemon 。 那么,当一个用户拷贝一个文件到后台打印目录, lpdaemon必须自行阀芯档案。 最简单的方法,以执行这项规定的目的是使阀芯目录集团所拥有的lpdaemon ,并有该集团拥有继承的所有文件都创造了该目录中。 一些systemsnotably , solaris和的sunos systemsaugment语义档案保护模式,通过设置setgid位上的目录,一旦有创建的文件,在目录继承该集团拥有该载目录中。 |
缩写的访问控制列表,例如那些支持的操作系统,遭受损失的粒度。 假设一个unix系统,有5个用户。 安妮不想让贝斯给她念文件,卡洛琳写信给它,与della阅读和书写,因此,和伊丽莎白执行它。 因为现在只有三套权限和5个理想的安排权(包括爱丽丝) , 3三胞胎是不够的,让所有想要的方式接入。 因此,爱丽丝必须妥协,要么给别人更多的权利,比她的欲望或给予某人较少权利。 同样,传统的unix存取控制不容许有一说: "每个人,但用户的法国" ;要做到这一点,就必须创造群体的所有用户除法国。 这样的安排是累赘,更何况,因为只有系统管理员可以创造群体。
许多系统充实的缩写的acl充分吹的acl 。 这项计划用途的缩写的acl作为默认许可管制;明确韧带压倒了默认到所需位置。 确切的方法各不相同。
例如: ibm版本的操作系统,所谓的aix ,利用一个前交叉韧带(称为"广义的权限" ) ,以增强传统的unix缩写的前交叉韧带(所谓的"基地权限" ) 。 有别于传统的acl ,艾克斯韧带允许一个指定的权限,以增加或删除用户的设置。 像jclin ,艾克斯基地火柴就组和用户的身份。 具体算法(用艾克斯的术语,其中的"基地权限" ,是在unix的缩写的acl和"扩大权限" unabbreviated acl的作品)如下。 如果延长的权限都是残疾人,停止。 集合s是该用户的权限。 获得明年的参赛扩展权限。 如果没有,停止。 集合s是该用户的权限。 如果该项目有同样的用户和组的过程中获取要求,决定是否进入否认准入。 如果是的话,停止。 准入是无可否认的。
作为一个具体的例子,考虑以下代表性的一个aix系统的访问控制权限,为档案xyzzy 。 属性:基数权限所有者(主教) :组建集团(系统)为: r -其他: - --扩大权限,使指定r w铀:冬青许可证的钨铀:海蒂地下=系统许可证r w铀:马特否认钨铀:冬青地下=学院
在延长的权限线路,第一场确定由什么路线手段( "明" ,以凌驾基地权限, "许可证" ,以增加权利,而"否认"删除权利) ;第二场国的权利,用传统的unix三重;与第三场界定用户(单位的" u : " )和组( 1 " : " ) 。
在这个例子里,冬青可以阅读xyzzy ,因为第一和第四线,在延长的权限第凌驾基地许可不准进入他人(类,其中冬青是会员) 。 如果冬青是工作,在医学院小组,她不能写入到xyzzy (上线) ,但可以读取它(第一线) 。 用户海蒂,在工作组的系统,可以读取和写入文件(该组线在基地权限赋予海蒂读权限;首证线在延长许可节给她写许可) 。 这样一来,扩大权限,增强基地的权限。 |
建立并维护访问控制列表
具体实现的acl ,会有不同的细节。 一些问题,有以下几点。
如果有一个享有特权的用户(如根在unix系统或管理人在windows nt ) ,这样做的acl适用于该用户?
请问acl的支持团体或通配符(也就是用户可以分成集的基础上,系统提出的"组"或模式匹配) ?
如何前后矛盾,存取控制权限处理? 如果一个条目助学金改为特权只和另一赠款写特权只,其中的权利是否受到过分的对象?
如果默认设置是不允许,这样做acl的权限修改它,或者是默认使用的,只有当被摄对象不明确提到,在acl的?
因为这两派都是至关重要的正确使用的acl一项制度,我们将探讨它们更详细的描述。
那些科目可以改变一个对象的韧带?
当一个acl的,是创造,权利都是实例。 其中最主要的权利,谁就是我们将号召自己的。 拥有自己的权利,可以修改前交叉韧带。
创建一个对象,也造成了其前交叉韧带,取得了初步的价值(可能是空的,但更通常是造物主最初给所有权利,包括自己,在新的对象) 。 按照惯例,此事与自己的权利是不允许修改前交叉韧带。 然而,有些制度,让任何一个接触操控权。
例如:关系型数据库系统r载有氮元组作出了记录,并在每个单元的每个正元组有属性。 这些氮元组存放桌,与记录作为行和属性作为栏目。 每个表定义了一个关系。
权利操纵一个表(关系) ,包括阅读(读行,查询利用的关系,还是界定意见) ,更新(以书面形式向一个表) ,插入(添加行) ,删除(删除行) ,丢弃(删除表) 。 每项权利有改性剂,所谓的补助办法,如果设置允许持有者给予的权利。 任何用户可使用一个表,可以给权利,任何其他用户,提供了正确的已批的选择。 因此,拥有接入(和一笔赠款的相关选项,与每个右) ,而不是所有权,控制权的转移。 |
这样做的acl适用于一个特权用户?
许多系统都为用户额外的特权。 两个最有名的是从根本上超级用户对unix系统管理员用户对windows nt和2000系统。 通常情况下,的acl (或其沦为形式) ,是应用在一个时装有限公司等用户。
例如: solaris的unix系统利用这两个缩写的acl标准unix系统,并全面吹韧带。 缩写的acl被忽略,当根是问题,但充分的acl申请,甚至以治本方法。 |
请问acl的支持团体和通配符?
在其典型的形式,的acl不支持团体或通配符。 在实践中,系统支援,其中一个或另一个(或两者) ,以限制人数的韧带并且使操纵名单更加容易。 一组既可以完善的特点,进程,将可获准进入或同义词一套用户(专家组成员) 。
例如:在艾克斯上面的例子,还记得是延长了审批线路(相当于全部韧带) 扩大权限,使
具体rw铀:冬青
许可证的钨铀:海蒂地下=系统
证rw铀:马特
否认钨铀:冬青地下=学院 最初,该集团系统已读权限,只有这个文件。 第二线增添写许可流程的uid海蒂和gid系统。 第一线,使流程的uid冬青阅读和书写准入,除当gid的整个过程,是教师,在这种情况下,该进程不能写入到对象(见第四行) 。 |
例如: jclin作业系统,提供的acl那些类似埃克斯,但允许通配符。 举例来说, 冬青: maceranch为: r 意味着一个进程的uid冬青和gid maceranch可以阅读的对象,其中前交叉韧带是联系在一起的。 该acl的条目 冬青: *为: r 意味着一个进程的uid冬青可以访问的对象,不论该集团这一进程正在英寸和入境 * : maceranch为: r 意味着任何进程的gid maceranch可以阅读的对象。 |
冲突
发生冲突,冲突的时候,两个存取控制清单作品中,同时韧带给予不同的权限,这个议题。 该系统可以允许进入,如果有任何条目,将给予准入,拒绝准入,如果有任何条目都不会否定准入,或申请首次入境比赛的主题。
举例来说:如果任何记在艾克斯韧带否认准入,这一问题是无法获得不论地点进入。 否则,如果任何条目已获准进入,这一问题是获准进入。 这是一个例子,拒绝考虑优先。 |
例如:思科路由器适用于首次访问控制列表条目匹配来袭包。 如果没有适用的情况下,即将上任的包丢弃。 这是一个例子,第二个办法,与缺省规则的否认。 |
的acl和默认权限
当的acl和缩略语的访问控制列表或默认接入权利并存(如在许多unix系统) ,有两种方法,以确定进入的权利。 首先,要采用适合acl的条目,如果存在,并采用默认的权限或缩写的访问控制列表。 第二条路,就是为了增进默认权限或缩写的访问控制列表与那些在适当的acl的条目。
例如:艾克斯延长权限属于第二类,因为它们改装基地权限。 |
举例来说:如果一个数据包进入一个思科路由器注定是一个宿主于网络背后的路由器,但路由器没有访问列表条目,使得包被转发,数据包被丢弃。 这是一个例子,第一种方法,因为默认许可是否定的。 |
撤销权
撤销,或防止一个主题的访问一个对象,需要由当事人的权利予以删除,从物体的前交叉韧带。
防止受访问对象是简单的。 条目的主题是删除对象的前交叉韧带。 如果只是具体权利予以删除,删除有关科目的条目中前交叉韧带。
如果所有权不管制授受的权利,撤销较为复杂。
例如:返回系统r.假设安娜给彼得更新权关系吨,但现在要取消他们。 系统r认为,后撤销,保护国家的制度应该,因为这是前安娜了彼得的任何权利。 具体来说,如果彼得给玛丽更新的权利,当安娜撤销彼得的更新权利,玛丽的更新权利应当予以撤销,除非有人比其他彼得也给了她更新的权利。
为实施这项制度r定义了一个有关所谓sysauth 。 属性,这种关系是(用户,表,保人,读取,插入,删除,辍学,更新) 。 价值属性相对应的权利是时间戳显示,当有权获得(除更新,我们会尽快处理后) 。 举例来说,若安娜给彼得阅读权利的关系,报告时间10 ,彼得给了他们以玛丽在时间为20 ,该表将如下。 | 用户 | 表 | 让与人 | 阅读 |
|---|
王泽 | 报告 | 安娜。 | 10个 | 玛丽。 | 报告 | 王泽 | 20 |
如果安娜撤销彼得的阅读权利,并获得了玛丽,她阅读的权利,由彼得后,安娜给了他们向彼得,她的阅读权利,也将被吊销。 但是,如果米歇尔也给了玛丽阅读权报告。 然后删去最后一行在表中留下一个条目marynamely ,一个由米歇尔: | 用户 | 表 | 让与人 | 阅读 |
|---|
王泽 | 报告 | 安娜。 | 10个 | 玛丽。 | 报告 | 米歇尔 | 五 |
所以玛丽仍然可以阅读报告。
更新权值,有或无。 这些价值观念是指以一套行认为是可以改变的。 如果该值是有的,第二个有关所谓syscolauth记录栏说,当事人可以更新。 此表还记录时代,并撤销收益,至于其他栏目。 |
例如: windows nt的访问控制列表
在windows nt提供存取控制列表进行这些档案的ntfs分区。 在windows nt允许一个用户或组来读取,写入,执行,删除,更改权限的,或采取所有权的一个文件或目录。 这些权利都分成常见指派套所谓的通用权利。 通用权益,为档案的内容如下。
无法获得,而受到不能进入档案
阅读,而主题可以阅读或执行文件
改变,而受到可以读,执行,写或删除文件
全面控制,而受有一切权利,以档案
此外,通用有权获得特别允许转让任何六个权限。
windows nt的目录,也有自己的概念,一般的权利。
没有机会,让被摄对象无法进入该目录
阅读,而主题可以阅读或执行文件与目录
名单中,而主题可以列出的内容目录,并可能改变一个子目录,在该目录
补充一点,即主题可能会造成文件或子目录,在该目录
放入,并宣读了,其中结合了通用权益放入,并宣读了
改变,而受到可以创造,读,执行,或写入文件内部的目录,并可以删除子目录
全面控制,而当事人的所有权利的文件和子目录,在该目录
与以前一样,通用特别进入权允许转让的其他组合的权限。
当一个用户访问一个文件时,在windows nt首先审查档案的韧带。 如果用户不在场,在acl的,是不是会员的任何一组列于前交叉韧带,获得被剥夺。 否则,如果任何acl的条目否认了用户的访问,在windows nt否认准入(这是一个明确的否定,这是第一次来计算) 。 如果通道并不明确否认的事实,用户名单中,前交叉韧带(无论是一个用户或一个团体的一名成员) ,用户有联盟的一套权利,从每一个acl的条目,其中用户的名字命名。
作为一个例子,假设保罗,康坦和里贾纳是用户的一个windows nt系统。 保罗和昆廷是在该组的学生。 昆廷和里贾纳是在该集团的工作人员。 目录e :在\东西有其访问控制列表设置为(工作人员,补充) , (康坦变化) , (学生,没有接入) 。 根据这份名单,第一个进入,使里贾纳创建子目录或文件在电子商务: \鬼话。 第三个条目不允许小组全体成员的学生进入该目录。 第二个条目将使昆廷删除子目录中,除表示昆廷是在学生组,并在windows nt明确否认(如在第三个条目)压倒任何补助的许可。 因此,昆廷不能进入目录。
现在,让里贾纳创建子目录plugh电子商务: \鬼话。 然后,她不允许保罗的机会,但不想让昆汀有变化准入。 她做了下面。
- 创造e :在\东西\ plugh ;它是前交叉韧带(工作人员,补充) , (康坦变化) , (学生,没有接入) 。
- 删除最后进入前交叉韧带;从第二个条目,这给昆廷改变准入。
- 加上进入(保罗,没有接入)的前交叉韧带。
最后一步是多余的,因为windows新台币否认准入默认,但它是更安全的补充,它无论如何,以免组学生获得的权利。 如真有这种情况,保罗会得到这些权利,除非(保罗,没有接入)进入人出席。