アクセス制御リスト
多くの種類のオペレーティングシステムはAclを実装しているか、または歴史的な実装を持っています。 最初のものは1965年のMulticsのファイルシステムにありました。
Filesystem ACLSEDIT
filesystem ACLは、プログラム、プロセス、ファイルなどの特定のシステムオブジェクトに対する個々のユーザーまたはグループ権限を指定するエントリを含むデータ構造 これらのエントリは、Microsoft Windows NT、OpenVMS、およびLinux、macOS、SolarisなどのUnixライクなオペレーティングシステムでは、access-control entries(Ace)と呼ばれます。, 各アクセスを含むオブジェクト識別子へのアクセス許可の指定 権限または権限によって、ユーザーがオブジェクトの読み取り、書き込み、実行などの特定のアクセス権が決まります。 いくつかの実装では、ACEは、ユーザまたはユーザのグループがオブジェクトのACLを変更できるかどうかを制御できます。
ファイルシステムAclを提供する最初のオペレーティングシステムの一つはMulticsでした。 プリモスは、少なくとも1984年には早くもAclを採用していた。
1990年代にACLおよびRBACモデルは広範囲にテストされ、ファイルの権限を管理するために使用されました。
POSIX ACLEdit
POSIX1003.,1e/1003.2cワーキンググループはAclを標準化する努力をし、その結果、現在”POSIX”と呼ばれるものが得られました。1e ACL”または単に”POSIX ACL”。 POSIX。1e/POSIX。2c草案は、参加者がプロジェクトに資金を提供するための関心を失い、NFSv4ACLのようなより強力な代替案に回ったため、1997年に撤回されました。 2019年現在、インターネット上ではドラフトのライブソースは見つかっていないが、インターネットアーカイブにはまだ見つかっている。
ほとんどのUnixおよびUnixライクなオペレーティングシステム(例えば、2.5.46またはNovember2002以降のLinux、BSD、またはSolaris)はPOSIXをサポートしています。,1e Acl(必ずしもドラフト17)。 Aclは通常、これらのシステム上のファイルの拡張属性に格納されます。
NFSv4ACLEdit
NFSv4AclはPOSIXドラフトAclよりもはるかに強力です。 ドラフトPOSIX Aclとは異なり、NFSv4Aclは、ネットワークファイルシステムの一部として、実際に公開された標準によって定義されています。
NFSv4Aclは、多くのUnixおよびUnixライクなオペレーティングシステムでサポートされています。 たとえば、AIX、FreeBSD、バージョン10.4(“Tiger”)以降のMac OS X、Zfsファイルシステムを備えたSolarisは、NFSv4標準の一部であるNFSv4Aclをサポートしています。, Linux用のNFSv4Aclの二つの実験的な実装があります:Ext3ファイルシステムのNFSv4AclサポートとExt4ファイルシステムのNFSv4Aclサポートをもたらす最近のRichacls。 POSIX Aclと同様に、NFSv4Aclは通常、Unixライクなシステムでは拡張属性として格納されます。
NFSv4Aclは、NTFSで使用されるWindows NT Aclとほぼ同じように構成されています。 NFSv4.1Aclは、NT AclとPOSIXドラフトAclの両方のスーパーセットです。 Sambaは、SMB共有ファイルのNT Aclをさまざまな方法で保存することをサポートしており、そのうちの一つはNFSv4エンコードAclです。,
Active Directory ACLsEdit
MicrosoftのActive Directoryディレクトリサービスは、ドメイン内のユーザーとコンピューターに関する構成情報を格納および配布するLDAPサーバーを実装しています。 Active DirectoryのLDAP仕様追加により同じタイプのアクセス制御リストなどを用いて、Windows NTのNTFSファイルシステム. その後、Windows2000では、LDAPオブジェクト全体へのアクセスを許可または拒否するだけでなく、これらのオブジェクト内の個々の属性へのアクセスを許可また,
Networking ACLsEdit
いくつかのタイプの独自のコンピュータハードウェア(特にルーターとスイッチ)では、アクセス制御リストは、ホストまたは他のレイヤ3で使用可能なポート番号またはIPアドレスに適用されるルールを提供し、それぞれにサービスの使用を許可されたホストおよび/またはネットワークのリストを備えています。 ネットワークドメイン名に基づいてアクセス制御リストを構成することも可能ですが、個々のTCP、UDP、およびICMPヘッダーにドメイン名が含まれていないため、, その結果、装置に強制アクセス制御リストが別途必名前解決するための数値です。 これは、アクセス制御リストが保護しているシステムのセキュリティを侵害しようとしている攻撃者のための追加の攻撃面を提示します。 個々のサーバーとルーターの両方にネットワークAclを設定できます。 アクセス制御リストは、通常、受信トラフィックと送信トラフィックの両方を制御するように構成できます。 ファイアウォールと同様に、AclはPCI DSSなどのセキュリティ規制や標準の対象となる可能性があります。,