Access Control List: Porovnání verzí
Bez shrnutí editace |
totální úpravy strojového (?) překladu z en:, pár menších úprav; za českou terminologii bych rozhodně ruku do ohně nedával |
||
| Řádek 1: | Řádek 1: | ||
'''ACL''' ([[ |
'''ACL''' ([[angličtina|anglicky]] '''access control list''', [[čeština|česky]] doslova ''seznam pro řízení přístupu'') je v oblasti [[počítačová bezpečnost|počítačové bezpečnosti]] seznam oprávnění připojený k nějakému objektu (např. [[soubor]]u). Seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace s ním může provádět. V typickém ACL specifikuje každý záznam v seznamu uživatele a operaci. Například: Záznam v ACL [''Pepa, smazat''] pro soubor ''XYZ'' dává uživateli ''Pepa'' právo ''smazat'' soubor ''XYZ''. |
||
Když předmět žádá provedení operace na objektu v ochranném modelu ACL, systém nejprve zkontroluje seznam pro platný přístup v příkazu k rozhodnutí, zda provést operaci. |
|||
U bezpečnostního modelu používajícího ACL tak systém před provedením každé operace prohledá ACL a nalezne v něm odpovídající záznam, podle kterého se rozhodne, zda operace smí být provedena. |
|||
== Bezpečnostní modely založené na ACL == |
== Bezpečnostní modely založené na ACL == |
||
Jednou ze základních otázek při tvorbě bezpečnostního modelu založeného na ACL je otázka, jak bude možno editovat samotné ACL. Systémy, které používají ACL, se dají klasifikovat do dvou kategorií: '''volitelné''' (''discretionary'') a '''povinné''' (''mandatory''). |
|||
Klíčová otázka v definování nějakého ACL je otázka jak ACL editovat. Pro každý objekt - kdo může modifikovat ACL a jaké změny jsou povolené. |
|||
Systémy, které používají ACL se dají klasifikovat do dvou kategorií: |
|||
Systémy s volitelným řízením přístupu umožňují tvůrci či vlastníkovi objektu plně řídit přístup k objektu, včetně například úpravy ACL tak, aby přístup získal kdokoli jiný. U povinného řízení přístupu (též „nevolitelné řízení přístupu“) jsou všechny operace podmíněny i omezeními stanovenými [[operační systém|operačním systémem]] ještě nad rámec omezení definovaných v ACL. |
|||
# '''Výběrový''' (discretionary) a |
|||
# '''Mandátní''' (mandatory). |
|||
Tradiční systémy ACL stanovují oprávnění uživatelům jednotlivě, takže systém s velikým počtem uživatelů se poněkud obtížně spravuje. Modernějším přístupem pak jsou bezpečnostní modely založené na tzv. ''rolích'', kdy jsou oprávnění přidělována rolím (např. „správce“, „sekretářka“) a uživatelům jsou přidělovány jednotlivé role. |
|||
Systému se říká, že má výběrové řízení přístupu, jestliže tvůrce nebo vlastník objektu může plně kontrolovat přístup k objektu, včetně například provádění změn objektů ACL k udělení přístupu někomu jinému. |
|||
Systému se říká, že má mandátní řízení přístupu (také známé jako „nevýběrové řízení přístupu“ v literatuře o bezpečnosti), jestliže si vynucuje systémové omezení jenž převyšuje oprávnění uvedené v ACL. |
|||
Tradiční ACL systémy stanovují oprávnění uživatelům individuálně, takže systém s velikým počtem uživatelů se pak může stát těžkopádný. |
|||
== |
== Počítačové sítě == |
||
U [[počítačová síť|počítačových sítí]] se jako ACL označuje seznam pravidel popisující [[síťový port (software)|porty]] nebo (síťové) [[démon (software)|démony]], které jsou dostupné na počítači (či jiném zařízení na [[referenční model ISO/OSI|síťové vrstvě]]), a u každé seznam zařízení a sítí, které mohou tuto službu používat. ACL mohou být jak na konkrétních [[server]]ech, tak i na [[router]]ech. Zpravidla existují oddělená ACL pro příchozí a odchozí data. Viz též [[firewall]]. |
|||
Oba jednotlivé servery stejně jako routery můžou mít síťoví ACL. Kontrolní přístupové listy mohou být zpravidla konfigurovány k řízení příchozí a odchozí dopravy. V této souvislosti jsou podobný firewallům. |
|||
{{Počítačový pahýl}} |
{{Počítačový pahýl}} |
||
Verze z 22. 4. 2007, 16:42
ACL (anglicky access control list, česky doslova seznam pro řízení přístupu) je v oblasti počítačové bezpečnosti seznam oprávnění připojený k nějakému objektu (např. souboru). Seznam určuje, kdo nebo co má povolení přistupovat k objektu a jaké operace s ním může provádět. V typickém ACL specifikuje každý záznam v seznamu uživatele a operaci. Například: Záznam v ACL [Pepa, smazat] pro soubor XYZ dává uživateli Pepa právo smazat soubor XYZ.
U bezpečnostního modelu používajícího ACL tak systém před provedením každé operace prohledá ACL a nalezne v něm odpovídající záznam, podle kterého se rozhodne, zda operace smí být provedena.
Bezpečnostní modely založené na ACL
Jednou ze základních otázek při tvorbě bezpečnostního modelu založeného na ACL je otázka, jak bude možno editovat samotné ACL. Systémy, které používají ACL, se dají klasifikovat do dvou kategorií: volitelné (discretionary) a povinné (mandatory).
Systémy s volitelným řízením přístupu umožňují tvůrci či vlastníkovi objektu plně řídit přístup k objektu, včetně například úpravy ACL tak, aby přístup získal kdokoli jiný. U povinného řízení přístupu (též „nevolitelné řízení přístupu“) jsou všechny operace podmíněny i omezeními stanovenými operačním systémem ještě nad rámec omezení definovaných v ACL.
Tradiční systémy ACL stanovují oprávnění uživatelům jednotlivě, takže systém s velikým počtem uživatelů se poněkud obtížně spravuje. Modernějším přístupem pak jsou bezpečnostní modely založené na tzv. rolích, kdy jsou oprávnění přidělována rolím (např. „správce“, „sekretářka“) a uživatelům jsou přidělovány jednotlivé role.
Počítačové sítě
U počítačových sítí se jako ACL označuje seznam pravidel popisující porty nebo (síťové) démony, které jsou dostupné na počítači (či jiném zařízení na síťové vrstvě), a u každé seznam zařízení a sítí, které mohou tuto službu používat. ACL mohou být jak na konkrétních serverech, tak i na routerech. Zpravidla existují oddělená ACL pro příchozí a odchozí data. Viz též firewall.