11-LABORATORIYA ISHI ACL RO`YHATINI SOZLASH (STANDARD, EXTENDED) 11.1. Ishdan maqsad NAT texnologiyasi tushunchasiga ega bo’lish
Access-List tushunchasiga ega bo’lish
CPT dasturida NAT va Access-Listdan foydalanib Global tarmoq qurish va paketlarni filtratsiyalash
11.2. Nazariy qism Kirish nazorati ro'yxati yoki ACL - bu ob'ektga (dasturga, jarayonga yoki faylga) kim yoki nimaga kirishi mumkinligini va mavzuga (foydalanuvchi, foydalanuvchi guruhi) qanday operatsiyalarga ruxsat berilishi yoki rad etilishini aniqlaydigan kirishni boshqarish ro'yxati hisoblanadi.
Kirish nazorati ro'yxatlari Selective Access Control (DAC) tizimlarining asosini tashkil etadi. Dastlab 1965 yilda OS Multics-da taqdim etilgan, shundan beri ular tarqatilgan kirish dasturlarining deyarli barcha turlarida keng tarqalgan va bir nechta dasturlarga aylandi. Odatda ACL-larda har bir yozuv mavzu va operatsiyani belgilaydi: masalan, XYZ fayli uchun ACL-dagi yozuv (Vasya, o'chirish) foydalanuvchi Vasya-ga XYZ faylini o'chirishga imkon beradi.
ACL-ga asoslangan xavfsizlik modeliga ega bo'lgan tizimda, sub'ekt ob'ekt ustida ishlashni talab qilganda, tizim avval ushbu mavzu uchun ruxsat berilgan operatsiyalar ro'yxatini tekshiradi va shundan keyingina so'ralgan harakatga kirish huquqini beradi (yoki bermaydi).ACL-dan foydalanadigan tizimlarni ikkita toifaga bo'lish mumkin: ixtiyoriy va majburiy. Ob'ektni yaratuvchisi yoki egasi ob'ektga kirishni to'liq nazorat qila oladigan bo'lsa, tizimga kirish huquqini o'zgartirishga ruxsat berilganlar ro'yxatini o'z ichiga oladigan bo'lsa, tizimni erkin foydalanishni boshqarish asosida qurilgan deyish mumkin. Agar foydalanuvchi tomonidan belgilangan ACL-lar tizim cheklovlari bilan bekor qilinsa, tizimga kirishni majburiy boshqarish kerak deb aytish mumkin.
Kirishni boshqarish ro'yxatlarini markazlashtirilgan saqlash bilan biz ob'ektlar va sub'ektlar o'qlar bo'ylab joylashgan va tegishli huquqlar kataklarda joylashgan kirish matritsasi haqida gaplashamiz. Biroq, ko'plab tizimlarda ob'ektga kirishni boshqarish ro'yxatlari har bir ob'ekt uchun alohida saqlanadi, ko'pincha to'g'ridan-to'g'ri ob'ektning o'zi bilan.
An'anaviy ACL tizimlari alohida foydalanuvchilarga huquqlarni beradi va vaqt o'tishi bilan tizimdagi foydalanuvchilar soni kirish ro'yxatlari noqulay bo'lishi mumkin. Ushbu muammoning echimi shaxsiy huquqni emas, balki foydalanuvchilar guruhlariga huquqlarni berishdir. Ushbu muammoni hal etishning yana bir usuli - bu "Rollarga asoslangan kirishni boshqarish", bu erda bir qator ob'ektlarga bo'lgan huquqlarning funktsional to'plamlari "rollar" ga birlashtiriladi va ushbu rollar foydalanuvchilarga beriladi. Biroq, birinchi versiyada foydalanuvchi guruhlari ko'pincha rollar deb ham nomlanadi.
ACL fayl tizimlari Fayl tizimlari ACL-larni amalga oshirish uchun jarayon foydalanuvchi identifikatoridan (POSIX UID) foydalanadi.
Kirish ro'yxati - bu alohida foydalanuvchi yoki guruhning dasturlar, jarayonlar yoki fayllar kabi maxsus tizim ob'ektlariga bo'lgan huquqlarini belgilaydigan yozuvlarni o'z ichiga olgan ma'lumotlar tuzilishi (odatda jadval). Ushbu yozuvlar Microsoft Windows va OpenVMS operatsion tizimlarida ACE (Access Control Entries) nomi bilan ham tanilgan. Linux va Mac OS X-da, aksariyat fayl tizimlari ACL sifatida ishlaydigan kengaytirilgan atributlarga ega. Tizimdagi har bir ob'ekt o'z ACL-ga ko'rsatgichni o'z ichiga oladi. Imtiyozlar (yoki vakolatlar) foydalanuvchiga ob'ektni o'qish (o'qish), yozish (yozish) yoki bajarish (bajarish) imkonini beradigan maxsus kirish huquqlarini belgilaydi. Ba'zi bir dasturlarda foydalanishni boshqarish yozuvlari (ACE) foydalanuvchi yoki guruhning ob'ektning ACL-ni o'zgartirish huquqini belgilashi mumkin.