| Security
Access Control Lists
Listet man in einem UNIX
-System Dateien auf, so ergibt sich etwa ein Bild wie folgt:
rwxr-xr-x meineDatei
Die Buchstaben beschreiben
die Zugriffsrechte und stehen für
r Leserecht
w Schreibrecht
x Recht zum Ausführen
bzw. Wechseln des Verzeichnisses.
- steht für ein
nicht vorhandenes Recht (rwx im Fall -wx kein Recht zum Lesen)
Die Kombination rwx ist jeder
Datei dreimal zugeordnet. Das erste Tripel steht für die rechte des
Besitzers, das zweite für die rechte der Gruppe des Besitzers und
das dritte Tripel für alle anderen.
Beispiel:
rwxr-x--- meineDatei
gestatt dem Besitzer Vollzugriff,
der Gruppe des Besitzers Lese- und Auführungsrecht, allen anderen
haben keine Rechte an dieser Datei.
Das Problem
Möchte man in UNIX bestimmten
Benutzern Rechte Vergaben oder mehreren Gruppen bestimmte Rechte an einer
Datei zuweisen, steht man vor einem Problem. Es kann nur einer Gruppe ein
recht eingeräumt werden. Auch können nicht selektiv bestimmten
Benutzern Rechte eingeräumt werden.
Die Lösung
Windows NT verwendet Access
Control Lists, kurz ACL. Jedem Objekt (z.B. einer Datei) ist eine Liste
zugeördnet. Diese Listen enthalten Einträge mit konkreten Benutzern
oder Gruppen und deren Rechte an diesem Objekt.
Auf diese Weise kann auch
einzelnen Benutzern definierter Zugriff auf Objekte eingeräumt werden.
Einem Datei-Objekt werden zwei ACLs zugeordnet: die Discretionary ACL und
die System ACL.
Discretionary ACL
Hier werden die Beechtigungen
von Benutzern eingetragen. In unserem Beispiel wird dem Benutzer Gurzki
Vollzugriff gewährt, dem Benutzer Mueller Lese- und Schreibrecht
und allen (anderen) Benutzern Leserecht.
System ACL
Hier werden Informationen
für das Betriebssystem abgelegt. Ein wichtiger Eintrag: Informationen
über die vom Administrator gewünschte Protokollierung. In unserem
Beispiel werden alle Schreibzugriffe des Benutzers Mueller protokolliert.
Übrigens: bei dieser Einstellung werden wirklich nur die Zugriffe
dieses Benutzers protokolliert und nicht etwa aller Benutzer.
|
