Části modelu řízení přístupu
Existují dvě základní části modelu řízení přístupu:
- přístupové tokeny, které obsahují informace o přihlášeného uživatele
- popisovače zabezpečení, které obsahují informace o zabezpečení, které chrání zabezpečitelný objekt
Když se uživatel přihlásí, systém ověří název a heslo uživatele. Pokud přihlášení proběhne úspěšně, vytvoří systém přístupový token. Každý proces spuštěný jménem tohoto uživatele bude mít kopii tohoto přístupového tokenu. Přístupový token obsahuje identifikátory zabezpečení, které identifikují účet uživatele a všechny účty skupiny, do kterých uživatel patří. Token obsahuje také seznam oprávnění uchovávané uživatelem nebo skupinami uživatele. Systém tento token používá k identifikaci přidruženého uživatele, když se proces pokusí získat přístup k zabezpečitelnému objektu nebo provést úlohu správy systému, která vyžaduje oprávnění.
Při vytvoření zabezpečitelného objektu ho systém přiřadí popisovač zabezpečení, který obsahuje informace o zabezpečení určené jeho tvůrcem, nebo výchozí informace o zabezpečení, pokud není zadán žádný. Aplikace můžou pomocí funkcí načíst a nastavit informace o zabezpečení pro existující objekt.
Popisovač zabezpečení identifikuje vlastníka objektu a může také obsahovat následující seznamy řízení přístupu:
- Volitelný seznam řízení přístupu (DACL), který identifikuje uživatele a skupiny povolené nebo odepřené přístup k objektu
- Seznam řízení přístupu systému (SACL), který řídí, jak systém audituje pokusy o přístup k objektu
Seznam ACL obsahuje seznam položek řízení přístupu (ACL). Každá služba ACE určuje sadu přístupových práv a obsahuje identifikátor SID, který identifikuje správce, pro které jsou práva povolena, odepřena nebo auditována. Správce může být uživatelský účet, účet skupiny nebo přihlašovací relace.
Pomocí funkcí můžete pracovat s obsahem popisovačů zabezpečení, identifikátorů SID a seznamů ACL místo přímého přístupu k nim. To pomáhá zajistit, aby tyto struktury zůstaly syntakticky přesné a zabránily budoucím vylepšením systému zabezpečení v narušení stávajícího kódu.
Následující témata obsahují informace o částech modelu řízení přístupu:
- přístupové tokeny
- popisovače zabezpečení
- seznamy řízení přístupu
- položky řízení přístupu
- přístupová práva a masky přístupu
- Jak accessCheck funguje
- centralizované zásady autorizace
- identifikátory zabezpečení