접근자가 리소스에 액세스하려고 하면 CA ControlMinder에서는 결과를 얻을 때까지 미리 결정된 순서에 따라 하나 이상의 검사를 실행하여 액세스 권한을 확인합니다. 검사에서 액세스 결과(액세스 거부 또는 허용)가 생성되면 CA ControlMinder에서는 추가로 검사하지 않고 결과를 반환합니다.
이러한 검사를 실행하는 순서가 중요합니다. 각 리소스에 대해 CA ControlMinder에서는 기본적으로 다음 순서에 따라 액세스 레코드를 검사합니다.
마지막 검사 두 개의 순서는 accpacl 옵션에 의해 결정됩니다. selang 명령 setoptions setpacl-를 사용하여 리소스 PACL 사용을 비활성화할 수 있습니다.
하나의 액세스 제어 목록에는 사용자에게 영향을 미치는 항목이 여러 개 포함될 수 있습니다. 예를 들어 사용자를 명시적으로 언급하는 한 항목과 사용자가 속한 각 그룹에 대한 여러 항목을 포함할 수 있습니다. CA ControlMinder에서는 다음 수준으로 이동하기 전에 각 수준에서 가능한 항목을 모두 확인합니다. 각 수준에서 충돌하는 규칙을 확인하는 방법에 대한 자세한 내용은 사용자 및 그룹 액세스 권한 간 상호 작용을 참조하십시오.
예: 파일에 대한 결과 사용 권한
다음 표에서는 user1이라는 접근자가 리소스 file1을 읽으려고 한다고 가정합니다.
다음 표에서 CA ControlMinder은 PACL을 사용하는 accpacl 옵션의 기본 설정을 따르고 있습니다.
|
user1에 대한 NACL의 항목 |
user1에 대한 ACL의 항목 |
user1에 대한 PACL의 항목 |
defaccess의 항목 |
결과 사용 권한 |
|---|---|---|---|---|
|
읽기 |
(모두) |
(모두) |
(모두) |
읽기 거부됨 |
|
(정의되지 않음) |
없음 |
(모두) |
(모두) |
읽기 거부됨 |
|
(정의되지 않음) |
읽기 |
(모두) |
(모두) |
읽기 허용됨 |
|
(정의되지 않음) |
(정의되지 않음) |
via pgm securereader |
(모두) |
securereader 프로그램을 통해 읽기 허용됨 |
|
(정의되지 않음) |
(정의되지 않음) |
(정의되지 않음) |
읽기 |
읽기 허용됨 |
항목이 (정의되지 않음)으로 표시되면 해당 액세스 제어 목록에 user1 항목이 없음을 의미합니다.
항목이 (모두)로 표시되면 CA ControlMinder에서 액세스 제어 목록을 확인하지 않으므로 해당 액세스 제어 목록의 항목이 문제가 없음을 의미합니다.
CA ControlMinder에서 확인하는 순서는 왼쪽에서 오른쪽입니다. 모든 행의 경우 거부된 액세스 권한이 포함된 셀의 오른쪽에 있는 셀 값이 (모두)임을 알 수 있습니다. 반대로 거부된 액세스 권한이 포함된 셀의 왼쪽에 있는 모든 셀 값은 (정의되지 않음)입니다.
|
Copyright © 2013 CA.
All rights reserved.
|
|