ファイルシステムのアクセス制御リスト
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/04/23 05:49 UTC 版)
「アクセス制御リスト」の記事における「ファイルシステムのアクセス制御リスト」の解説
ファイルシステムにおいては、プロセスの利用者識別子(POSIXでは実効UID)が制御の主な手段となる。アクセス制御リスト (ACL) はデータ構造(通常は配列)をもち、特定のシステムオブジェクト(プログラム、プロセス、ファイル)への個々のユーザーやグループの権利を示す要素から構成される。これらの要素は、Microsoft Windows、OpenVMS、Unix系、macOSといったオペレーティングシステム (OS) ではアクセス制御エントリ (ACE) と呼ばれている。アクセス可能なオブジェクトはACLへの識別子をもっている。特権またはパーミッションは、あるユーザーがそのオブジェクトについて何ができるか(読み、書き、実行)を決定する。実装によっては、ACEは所有者かどうか、または所有者のグループかどうかにかかわらずオブジェクトのACLを制御できる。 アクセス制御リストは概念であり、その実装はOSによって異なるが、POSIXの「標準」がある(POSIX security draftsの.1eと.2cは対象範囲を広げすぎたため標準策定が完了しないとして破棄された。しかし、ACLについてよく書かれた部分は広く実装され「POSIX ACL」として知られるようになった)。多くのUNIXおよびUnix系OS(例えば、Linux、BSD、Solaris)はドラフト版のPOSIX.1e ACLをサポートしている。また、AIX、FreeBSD、Mac OS X v10.4 ("Tiger") 以降、SolarisのZFSではNFSv4 ACLをサポートしている。Linuxでもext3ファイルシステム向けとRichaclsというext4向けのNFSv4 ACLの実験的実装が2つある。 ACLの実装は非常に複雑になる可能性がある。ACLは様々なオブジェクト、ディレクトリや他のコンテナ、コンテナ内のコンテナなどに適用できる。ACLは要求されるすべてのセキュリティ対策を実現できるわけではないので、きめ細かいケイパビリティに基づくアクセス制御システムのほうがよいこともある(その場合、アクセスしようとするオブジェクトに対してアクセス対象のオブジェクトから権限が譲渡され、もっと細かい制御が可能となる)。
※この「ファイルシステムのアクセス制御リスト」の解説は、「アクセス制御リスト」の解説の一部です。
「ファイルシステムのアクセス制御リスト」を含む「アクセス制御リスト」の記事については、「アクセス制御リスト」の概要を参照ください。
- ファイルシステムのアクセス制御リストのページへのリンク