アクセサがリソースへのアクセスを試みると、CA ControlMinder は、結果が得られるまで、事前定義された順序で 1 つ以上のチェックを実行することでアクセス権限をチェックします。 チェックによってアクセスの結果(アクセスの拒否または許可)が得られると、CA ControlMinder はそれ以上チェックを実行せず、代わりに結果を返します。
これらのチェックを実行する順序は重要です。 リソースごとに、CA ControlMinder はデフォルトでは以下の順序でアクセス レコードをチェックします。
最後の 2 つのチェックの順序は、accpacl オプションの設定によって決まります。 リソース PACL の使用を無効にするには、selang コマンドの setoptions setpacl- を使用します。
1 つのアクセス制御リストに、同じユーザに影響する複数のエントリが含まれていることがあります。 たとえば、ユーザを明示的に指定するエントリと、そのユーザが属する各グループに対するエントリが含まれることがあります。 CA ControlMinder は、各レベルで有効なすべてのエントリをチェックしてから、次のレベルに進みます。 各レベルで競合するルールを解決する方法の詳細については、「ユーザのアクセス権限とグループのアクセス権限との相互作用」を参照してください。
例: ファイルのアクセス許可の結果
以下の表は、アクセサ user1 がリソース ファイル 1 の読み取りを試みることを前提としています。
以下の表では、CA ControlMinder は accpacl オプションのデフォルトの設定に従って PACL を使用します。
|
user1 に対する NACL 内のエントリ |
user1 に対する ACL 内のエントリ |
user1 に対する PACL 内のエントリ |
defaccess 内のエントリ |
結果的に付与されるアクセス許可 |
|---|---|---|---|---|
|
Read |
(任意) |
(任意) |
(任意) |
読み取り拒否 |
|
(未定義) |
なし |
(任意) |
(任意) |
読み取り拒否 |
|
(未定義) |
Read |
(任意) |
(任意) |
読み取り許可 |
|
(未定義) |
(未定義) |
via pgm securereader |
(任意) |
securereader プログラムの実行によって読み取り許可 |
|
(未定義) |
(未定義) |
(未定義) |
Read |
読み取り許可 |
エントリが(未定義) と表示されている場合、これは、user1 に対するエントリがアクセス制御リストに存在しないことを意味します。
エントリが(任意) と表示されている場合、これは、CA ControlMinder によるチェックが行われず、アクセス制御リスト内のエントリは関係ないことを意味します。
CA ControlMinder は、左から右にチェックします。 すべての行で、アクセスが定義されているセルの右側に位置するセルの値は、(任意)になることに注意してください。 逆に、アクセスが定義されているセルの左側にあるセルの値はすべて(未定義)になります。
|
Copyright © 2013 CA.
All rights reserved.
|
|