Методы гибкого контроля доступа

0

1

Пример. Пусть у нас есть директория D1, в ней - директории D11,D12,D13, в D12 - D121,D122,D123. Далее, есть множество пользователей, в нём подмножества S1,S2,S3. Пользователи из S1 должны иметь доступ к D121 и ни к чему другому, из S2 - к D13 и D123, из S3 - только к D12. Вопрос: как заставить такую систему работать без нагромождения ACL-групп вида d121_acces, d13_access итд? Подвопрос: есть ли какая-нибудь прослойка над POSIX ACLs, позволяющая проворачивать подобные махинации?

Ссылка

←

zip папки

Как отключить кнопки под тачпадом (не отключая сам тачпад)?

→

попробуй - http://wiki.apparmor.net/index.php/Pam_apparmor_example

uspen ★★★★★
(28.12.11 01:32:43 MSK)

оффтоп

а зачем это нужно?

~~drBatty~~ ★★
(28.12.11 01:39:59 MSK)

Ссылка

Вопрос: как заставить такую систему работать без нагромождения ACL-групп вида d121_acces, d13_access итд?

Почему ты рещил, что это «нагромождение»? Дискреционный контроль доступа подразумевает явный список разрешений в виде троек «объект, субъект, привилегии». Тем или иным образом, тебе всё равно придется задавать субъект.

А вообще, ты просто пошел не тем путем. Юзеров надо делить на функциональные группы, и потом функциональным группам раздавать привилегии. То есть не извращаться как ты, создавая «группу на доступ к ресурсу», а создать «группы по функциональным обязанностям» и на них раздавать привилегии.

~~no-dashi~~ ★★★★★
(28.12.11 06:27:42 MSK)

Ответ на: комментарий от no-dashi 28.12.11 06:27:42 MSK

Юзеров надо делить на функциональные группы

верно, именно так я и хотел - но так в рамках обычных ACL сделать нельзя.

Почему ты рещил, что это «нагромождение»?

потому что вместо того чтобы задать группу A, члены которой имеют доступ к ресурсу R1 R2 и R3 (функциональные группы), я вынужден делать R1_access, R2_access, R3_access, etc

jcd ★★★★★
(28.12.11 16:20:32 MSK) автор топика