Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Механизм контроля доступа




Каждый пользователь и каждая группа пользователей имеют символическое имя и уникальный числовой идентификатор. Все идентификационные данные в т.ч. имена и идентификаторы пользователя и групп, параметры пользователя, сведения о его вхождении в группы, хранятся в специальном файле или в БД, входящем(ей) в состав ОС.

Механизм контроля доступа порождает процесс-оболочку, который поддерживает диалог с пользователем и запускает для него другие процессы.

При получении от пользователя имени и пароля процесс-оболочка находит по ним числовые идентификаторы и эти идентификаторы связываются с каждым процессом, запущенным оболочкой для данного пользователя , т.е. процесс выступает от имени данного пользователя.

Любой порожденный процесс наследует ID-ры пользователя и групп от процесса-родителя. Определить права доступа к ресурсу – это значит определить для каждого пользователя набор операций, который ему разрешено применить к данному ресурсу.

В разных ОС для одних и тех же типов ресурсов может быть определен свой свой список дифференцируемых операций доступа.

Практически во всех ОС матрица прав доступа хранится по частям, т.е. для каждого файла или каталога создается список управления доступом Access Control List (ACL) в котором описываются права на выполнение операций пользователей и групп по отношению к этому файлу или каталогу.

Список управления доступом (ACL) является частью характеристик файла или каталога и хранится в собственной области диска.

Обобщенно формат списка управления доступом можно представить в виде набора идентификаторов пользователей и групп пользователей, в котором для каждого идентификатора указывается набор разрешенных операций над объектом.

ACL состоит из элементного управления доступом – Access Control Element (ALE). При этом каждый элемент соответствует одному идентификатору. Список ACL с добавленным к нему ID-ром владельца называют характеристиками безопасности.

27. Организация контроля доступа в ОС Unix и в ОС Windows NT.

 

В ОС UNIX права доступа к файлу или каталогу определяются для 3х субъектов:

1. Владельца файла - UID

2. для членов группы, к которой принадлежит владелец - GID

3. для всех остальных пользователей

 

С учетом того, что в UNIX определены всего 3 операции над файлами и каталогами (ЧТ, ЗП, выполнение) характеристики безопасности файла включают 9 признаков, задающих возможность выполнения каждой из 3х операций, для каждого из 3х субъектов доступа.

Суперпользователю UNIX все виды доступа позволены всегда, поэтому его ID, который имеет значение 0, не фигурирует в списках управления доступом.


.

mylektsii.ru - Мои Лекции - 2015-2019 год. (0.005 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал