Access Control Lists (ACL) im Dateisystem

Seite: 2/5
(2168 Worte insgesamt im Text)
(12640 mal aufgerufen)  Druckerfreundliche Ansicht

Was sind Access Control Lists?

In der Unixwelt versteht man unter Access Control Lists eine Erweiterung der "normalen" Zugriffssteuerung auf Ebene des Benutzer-Gruppe-Welt Modells. Bei Access Control Lists lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten.

Was bedeudet das genau?

Fangen wir zunächst mit einem Beispiel an, welches den Sinn von ACLs verdeutlichen soll:

Im Schulnetz soll eine Übersicht bereitgestellt werden, welche Aufgaben zur Vorbereitung der Abiturfeier von wem erfüllt werden und wie der Stand der Realisierung ist. Der Schülersprecher soll die Übersicht bearbeiten können, die Schüler des Abiturjahrgangs diese Liste lesen, sonst keiner.

Dieser Fall kann mit den normalen Unix-Rechten einfach realisiert werden. Jedes Unix-System bietet für solche Fälle schon seit jeher die "klassischen" Zugriffsregeln für den Besitzer des Objekts (der Datei, dem Ordner, etc.), die Gruppe und Sonstige. Dabei gibt es für jedes Objekt noch Zugriffsrechte, die für den Eigentümer, die Gruppe und alle anderen Benutzer auf dem System separat gesetzt werden.
AbkürzungWertZugriffsart
rread (lesen, kopieren)Lesen oder Kopieren des Dateiinhalts
wwrite (schreiben, löschen)Schreiben oder ändern von Dateiinhalten. Das schließt auch das Löschen der kompletten Datei/ des Ordners mit ein.
xexecute (ausführen, hineinwechseln)Das Ausführen von Programmen (Linux kennt keine Endungen wie *.exe oder *.bat) oder das Wechseln in einen Ordner.

Arbeitet man mit einer Datei, prüft Linux jedesmal, wer z.B. auf ein gestartetes Programm oder eine Datei oder einen Ordner zugreifen darf. Wichtig ist dabei, dass die benötigten Zugriffsrechte vorhanden sind.

Zurück zu unserem Beispiel: auch der Schülersprecher muss sich auf die Prüfungen vorbereiten und ist deswegen nicht immer erreichbar und soll demzufolge von seinem Stellvertreter unterstützt werden.

Jetzt sieht es mit den Unix-Rechten schlecht aus: zwei Benutzer sollen schreiben dürfen, die Schüler des Abiturjahrgangs lesen und alle anderen dürfen nichts. Was nun?

Spielen wir die möglichen Lösungen durch:
  • Der Stellvertreter kann sich als Schülersprecher einloggen -> nicht gut, weil er dann ja auch andere Dinge unter falschem Namen machen kann.
  • Einen neuen User, unter dem sich beide einloggen können -> auch nicht gut. Insbesondere lässt sich dann nicht nachvollziehen, wer von beiden etwas geändert hat.
  • Eine spezielle Gruppe für den Schülersprecher und den Stellvertreter. Würde hier zwar funktionieren, aber sollten verschieden Aufgaben von verschiedenen Gruppen realisiert werden müssen, steigt die Anzahl der möglichen Gruppen rasant (2^n) an -> irgendwann wirds dann unüberschaubar

Genau jetzt kommen die POSIX Access Control Lists (ACL) ins Spiel: Access Control Lists sind eine Erweiterung des traditionellen UNIX-Berechtigungsschemas. Es können damit zusätzlich zu den Berechtigungen für den Besitzer, die Besitzergruppe und für Andere Berechtigungen für weitere Benutzer und Gruppen angegeben werden. Ausserdem kann definiert werden, welche Berechtigungen neu erzeugte Dateien erhalten sollen.


Kommentare

Einen Kommentar hinzufügen



 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Das Ende aller Technik beweist sich im PC.

-- anonymous