Механизм контроля доступа

Каждый пользователь и каждая группа пользователей обычно имеет символьное имя, а также уникальный числовой идентификатор.

При выполнении процедуры логического входа в систему пользователь сообщает свое символьное имя и пароль, а ОС определяет соответствующие числовые идентификаторы пользователя и групп, в которые он входит.

Все идентификационные данные, в том числе имена и идентификаторы пользователей и групп, пароли пользователей, а также сведения о вхождении пользователя в группы хранятся

Вход пользователя в систему порождает процесс – оболочку, который поддерживает диалог с пользователем и запускает для него другие процессы.

Процесс – оболочка получает от пользователя символьное имя и пароль и находит по ним числовые идентификаторы пользователя и его групп. Эти идентификаторы связываются с каждым процессом, запущенным оболочкой для данного пользователя. Говорят, что процесс выступает от имени данных пользователя и данных групп пользователей.

Определить права доступа к ресурсу – значит определить для каждого пользователя набор операций, которые ему разрешено применять к данному ресурсу.

В разных ОС для одних и тех же типов ресурсов может быть определен свой список дифференцируемых операций доступа.

Для файловых объектов этот список включает следующие операции:

· создание файла;

· уничтожение файла;

· открытие файла;

· закрытие файла;

· запись в файл;

· дополнение файла;

· поиск в файле;

· получение атрибутов файла;

· установка новых значений атрибутов;

· переписывание;

· выполнение файла;

· чтение каталога;

· смена владельца;

· изменение прав доступа.

В самом общем случае права доступа могут быть описаны матрицей прав доступа, в котором столбцы соответствуют всем файлам системы, строки всем пользователям, а на пресечении строк и столбцов указываются разные операции.

Практически во всех ОП матрица прав доступа хранится “по частям”, т.е. для каждого файла и каталога создается так называемый список управления доступом, в котором описываются права на выполнение операций пользователей и группы пользователей по отношению к этому файлу и каталогу. Список управителя доступа является частью характеристик файла или каталога и хранится на диске в соответствующей области.

Однако, не все файловые системы поддерживают список управления доступом, например, его не поддерживает ФС FAT, так она разрабатывалась для однопользовательской MS – DOS.

Список управления доступом с добавленным к нему идентификатором владельца называется характеристиками обязанности.