Condividi tramite

Mapping degli identificatori Posix

  • Articolo

Il sottosistema Posix deve essere in grado di convertire qualsiasi ID di sicurezza (SID) rilevato in un valore a 32 bit, denominato ID Posix. Inoltre, deve essere in grado di classificare l'ID come ID utente o id gruppo. Per comprendere come viene eseguito questo mapping, si esaminino prima i SID di cui è necessario eseguire il mapping.

I SID hanno due componenti, il SID del dominio e l'ID relativo dell'account nel dominio. Ad esempio, nel SID S-1-518364-21-43-8, l'ultimo numero, 8, è l'ID relativo dell'account e S-1-518364-21-43 è il SID del dominio.

Le informazioni sul dominio vengono archiviate in oggetti TrustedDomain . Parte delle informazioni archiviate in un oggetto TrustedDomain è un offset DI ID Posix da usare per i SID all'interno di tale dominio. Si supponga, ad esempio, che un TrustedDomain sia definito come segue:

    Name:    NtPgm
    Sid:    S-1-518364-21-43
    Posix Offset:    0x130000

Gli ID posix per gli account in questo dominio vengono generati aggiungendo 0x130000 all'ID relativo dell'account. Quindi, l'ID Posix corrispondente al SID S-1-518364-21-43-8 sarebbe 0x130008.

Non tutte le traduzioni di ID Posix usano un oggetto TrustedDomain . La tabella seguente mostra i SID mappati usando valori di offset noti.

Source (Sorgente) Offset DELL'ID Posix
SID dal dominio predefinito 0x20000
SID dal dominio dell'account 0x30000
SID del dominio primario (solo nelle workstation) 0x40000

 

Infine, un altro set di SID, SID di accesso, richiede un'elaborazione speciale. Questi valori vengono assegnati dal processo di accesso di Windows per ogni sessione di accesso e hanno il formato S-1-5-5-X-Y, dove X e Y vengono considerati come un singolo LARGE_INTEGER incrementato per ogni sessione di accesso. Questi SID vengono mappati all'ID Posix costante 0xFFF. Per eseguire il mapping dell'ID Posix 0xFFF, puoi tradurre qualsiasi identificatore di accesso più adatto alla situazione oppure puoi usare S-1-5-5-0-0 per impostazione predefinita. Ad esempio, se un utente posix applica la protezione a un oggetto e specifica FFFx, è preferibile sostituire l'identificatore di accesso dell'utente rispetto all'assegnazione di S-1-5-5-0-0.