Списки контроля доступа

— Что это?— вытянул шею Гмык, хмуро глядя на мои карты. — Но тут ,же только.

— Минутку, — вмешался игрок слева от него. — Сегодня вторник. Выходит, его единороги дикие.

— Но в названии месяца есть "М"— вякнул еще кто-то. — Значит, его великан идет за половину номинальной стоимости!

— Но у нас четное число игроков...

— Вы все кое-что упускаете. Эта партия — сорок третья, а Скив сидит на стуле лицом к северу!

Приняв за указание стоны и все заметнее вырисовывавшееся выражение отвращения на лицах, я сгреб банк.

Р. Асприн

В общем случае совокупность всех ACL в системе представляет собой трехмерную матрицу, строки которой соответствуют пользователям, столбцы -операциям над объектами, а слои — самим объектам. С ростом количества объектов и пользователей в системе объем этой матрицы быстро растет, поэтому, как уже говорилось, разработчики реальных систем контроля доступа предпринимают те или иные меры для более компактного представления матрицы.

Хотя ухищрения для сокращения ACL дают определенный эффект, и в большинстве случаев список имеет всего лишь несколько записей (рис. 12.9), наложение ограничений на его размер часто считают неприемлемым или устанавливают такие ограничения весьма высокими, например в несколько тысяч записей. Это приводит к тому, что с файлом в ФС, поддерживающих списки контроля доступа, кроме основного массива данных, оказывается связан еще один массив, обычно уступающий в размерах основному, но, в принципе, способный достигать очень большого объема.

Впрочем, соответствующее усложнение файловой системы не так уж велико. Многие ФС позволяют хранить в дополнительных блоках данных не только записи ACL, но и другие сущности — расширенные атрибуты, ресурсную ветвь и т. д.

Рис. 12.9. Список контроля доступа

Есть три основных подхода, используемых для сокращения ACL.

Использование прав по умолчанию

Группирование пользователей и/или объектов

Ограничение комбинаций прав, которыми пользователи и группы могут реально обладать

Содержание Назад Вперед