Sdílet prostřednictvím


Části modelu řízení přístupu

Existují dvě základní části modelu řízení přístupu:

Když se uživatel přihlásí, systém ověří název a heslo uživatele. Pokud přihlášení proběhne úspěšně, vytvoří systém přístupový token. Každý proces spuštěný jménem tohoto uživatele bude mít kopii tohoto přístupového tokenu. Přístupový token obsahuje identifikátory zabezpečení, které identifikují účet uživatele a všechny účty skupiny, do kterých uživatel patří. Token obsahuje také seznam oprávnění uchovávané uživatelem nebo skupinami uživatele. Systém tento token používá k identifikaci přidruženého uživatele, když se proces pokusí získat přístup k zabezpečitelnému objektu nebo provést úlohu správy systému, která vyžaduje oprávnění.

Při vytvoření zabezpečitelného objektu ho systém přiřadí popisovač zabezpečení, který obsahuje informace o zabezpečení určené jeho tvůrcem, nebo výchozí informace o zabezpečení, pokud není zadán žádný. Aplikace můžou pomocí funkcí načíst a nastavit informace o zabezpečení pro existující objekt.

Popisovač zabezpečení identifikuje vlastníka objektu a může také obsahovat následující seznamy řízení přístupu:

  • Volitelný seznam řízení přístupu (DACL), který identifikuje uživatele a skupiny povolené nebo odepřené přístup k objektu
  • Seznam řízení přístupu systému (SACL), který řídí, jak systém audituje pokusy o přístup k objektu

Seznam ACL obsahuje seznam položek řízení přístupu (ACL). Každá služba ACE určuje sadu přístupových práv a obsahuje identifikátor SID, který identifikuje správce, pro které jsou práva povolena, odepřena nebo auditována. Správce může být uživatelský účet, účet skupiny nebo přihlašovací relace.

Pomocí funkcí můžete pracovat s obsahem popisovačů zabezpečení, identifikátorů SID a seznamů ACL místo přímého přístupu k nim. To pomáhá zajistit, aby tyto struktury zůstaly syntakticky přesné a zabránily budoucím vylepšením systému zabezpečení v narušení stávajícího kódu.

Následující témata obsahují informace o částech modelu řízení přístupu: