Access Control List (ACL) - en åtkomstkontrolllista som bestämmer vem eller vad som kan komma åt ett objekt (program, process eller fil), och vilka operationer som tillåts eller förbjuds att utföras av ämnet (användare, användargrupp).
Åtkomstkontrollistor är ryggraden i DAC-system (selektiv åtkomstkontroll) .
Först introducerades i OS Multics 1965, sedan dess har flera implementeringar blivit utbredda i nästan alla typer av program med distribuerad åtkomst.
I typiska ACL:er definierar varje post ett ämne och en operation: till exempel, posten (Vasya, ta bort) i ACL för filen XYZ tillåter användaren Vasya att ta bort filen XYZ .
I ett system med en ACL-baserad säkerhetsmodell, när en subjekt begär en operation på ett objekt, kontrollerar systemet först listan över operationer som är tillåtna för det subjektet, och först därefter beviljar (eller beviljar inte) åtkomst till den begärda åtgärden.
System som använder ACL:er kan delas in i två kategorier: diskretionär ( engelska diskretionär ) och obligatorisk ( engelska obligatorisk ). Ett system kan sägas vara byggt på diskretionär åtkomstkontroll om skaparen eller ägaren av ett objekt har full kontroll över åtkomsten till objektet, inklusive listan över de som får ändra åtkomsträttigheter till objektet. Ett system kan sägas ha obligatorisk åtkomstkontroll om användardefinierade ACL:er åsidosätts av systemrestriktioner.
Med centraliserad lagring av åtkomstkontrolllistor kan vi prata om en åtkomstmatris , där objekt och ämnen placeras längs axlarna och motsvarande rättigheter finns i cellerna. Men i ett stort antal system lagras listor för objektåtkomstkontroll separat för varje objekt, ofta direkt med själva objektet.
Traditionella ACL-system tilldelar rättigheter till enskilda användare, och med tiden och antalet användare i systemet kan åtkomstlistor bli svårhanterliga. En lösning på detta problem är att tilldela rättigheter till grupper av användare, och inte individuellt. En annan lösning på detta problem är " rollbaserad åtkomstkontroll ", där funktionella underuppsättningar av rättigheter till ett antal objekt kombineras till "roller" och dessa roller tilldelas användare. Men i den första varianten kallas användargrupper också ofta för roller .
Filsystem använder processanvändar -ID ( UID i POSIX - termer ) för att implementera ACL:er .
En åtkomstlista är en datastruktur (vanligtvis en tabell) som innehåller poster som definierar rättigheterna för en enskild användare eller grupp till speciella systemobjekt såsom program , processer eller filer. Dessa poster är också kända som ACE ( Access Control Entries ) i Microsoft Windows och OpenVMS operativsystem . På Linux och Mac OS X har de flesta filsystem utökade attribut som fungerar som ACL. Varje objekt i systemet innehåller en pekare till sin egen ACL. Privilegier (eller befogenheter) definierar speciella åtkomsträttigheter som tillåter en användare att läsa från ( eng. read ), skriva till ( eng. write ) eller exekvera ( eng. execute ) ett objekt. I vissa implementeringar kan ACE (Access Control Entries) definiera rätten för en användare eller grupp att ändra ett objekts ACL.
ACL-koncept skiljer sig mellan operativsystem, trots den befintliga POSIX-"standarden". (POSIX-säkerhetsutkasten, .1e och .2c, drogs tillbaka när det stod klart att de täckte för stor räckvidd och arbetet inte kunde slutföras, men de väldefinierade delarna som definierar ACL:er var allmänt implementerade och är kända som "POSIX ACLs ". )
I nätverk är ACL:er en lista över regler som definierar tjänstportar eller domännamn som är tillgängliga på en värd eller annan OSI lager 3 -enhet , var och en med en lista över värdar och/eller nätverk som får åtkomst till tjänsten. Nätverks-ACL kan konfigureras på både en vanlig server och en router , och kan styra både inkommande och utgående trafik , som en brandvägg .