Wyrażenie kontroli dostępu
Wyrażenie kontroli dostępu w odniesieniu do systemu plików komputera to lista wyrażeń boolowskich dołączonych do obiektu pliku . Wyrażenie kontroli dostępu określa formułę logiczną, która określa, którzy użytkownicy lub procesy systemowe mają przyznany dostęp do obiektów, a także jakie operacje są dozwolone na danych obiektach. Każdy wpis w typowym wyrażeniu kontroli dostępu określa operację, wyrażenie i operację. Na przykład, jeśli obiekt pliku ma wyrażenie kontroli dostępu, które zawiera (read=(g:system OR u:Alice), write=(g:system AND !u:Bob))) , dałoby to dowolnemu członkowi systemu grupie lub użytkownikowi o imieniu Alicja uprawnienia do odczytu pliku, ale zezwoli tylko członkom grupy systemowej na zapisanie pliku, z wyjątkiem użytkownika o imieniu Bob.
Konwencjonalne listy kontroli dostępu można postrzegać jako podzbiór wyrażeń kontroli dostępu, w których jedyną dozwoloną operacją łączenia jest OR.
Implementacje
Niewiele systemów implementuje wyrażenia kontroli dostępu. System plików MapR jest jednym z takich systemów.
Przejdź w kierunku wyrażeń kontroli dostępu do systemu plików
Wczesne systemy uniksowe i uniksopodobne były pionierami elastycznych schematów uprawnień opartych na członkostwie użytkowników i grup. Początkowo użytkownicy mogli należeć tylko do jednej grupy, ale to ograniczenie zostało złagodzone, aby umożliwić członkostwo w wielu grupach. Przy nieograniczonej liczbie grup można było wdrożyć dowolnie złożone schematy uprawnień, ale tylko kosztem wykładniczej liczby grup.
Aby umożliwić większą ekspresyjność w specyfikacji uprawnień do systemu plików , opracowano szereg konkurencyjnych implementacji list kontroli dostępu dla Microsoft Windows oraz systemów Unix i systemów uniksopodobnych Linux . Listy kontroli dostępu były znacznym ulepszeniem w stosunku do prostych uprawnień użytkowników i grup, ale nadal nie mogły łatwo wyrazić niektórych typowych wymagań (takich jak zablokowanie pojedynczego użytkownika z grupy). Wyrażenia kontroli dostępu zostały opracowane w odpowiedzi na takie potrzeby.
Porównanie do list kontroli dostępu
Wyrażenia uprawnień obsługiwane przez listy kontroli dostępu są ścisłym podzbiorem wyrażeń obsługiwanych przez wyrażenia kontroli dostępu, ale mają tę zaletę, że są bardzo szybkie i bezpośrednie w implementacji. Koszt implementacji wyrażeń kontroli dostępu nie stanowi już większego problemu ze względu na postęp w wydajności sprzętu.
Zobacz też
- Cacls
- Bezpieczeństwo oparte na możliwościach
- Uznaniowa kontrola dostępu
- Kontrola dostępu oparta na rolach
Dalsza lektura
- „Składnia wyrażeń kontroli dostępu” . Dokumentacja MapR . Źródło 2016-06-21 .