ACL (Access Control List)

Modifica online

Gli elenchi di controllo degli accessi (ACL) forniscono un mezzo per proteggere le informazioni memorizzate in una directory LDAP. Gli amministratori utilizzano ACL per limitare l'accesso a diverse porzioni della directory, o voci di directory specifiche.

Le modifiche ad ogni voce e attributo nella directory possono essere controllate utilizzando ACL. Un ACL per una determinata voce o attributo può essere ereditato dalla sua voce principale o può essere esplicitamente definito.

È meglio progettare la propria strategia di controllo accessi creando gruppi di utenti che utilizzerà quando si imposterà l'accesso per oggetti e attributi. Impostare la proprietà e l'accesso al livello più alto nell'albero possibile e lasciare che i controlli ereditino l'albero.

Gli attributi operativi associati al controllo degli accessi, come entryOwner, ownerSource, ownerPropagate, aclEntry, aclSource e aclPropagate sono insoliti in quanto sono logicamente associati a ciascun oggetto, ma possono avere valori che dipendono da altri oggetti più in alto nell'albero. A seconda di come sono stabiliti, questi valori di attributo possono essere espliciti ad un oggetto o ereditato da un antenato.

Il modello di controllo accessi definisce due serie di attributi: le informazioni ACI (Access Control Information) e entryOwner . L'ACI definisce i diritti di accesso dati a un determinato soggetto rispetto alle operazioni che possono eseguire sugli oggetti a cui si applicano. Gli attributi aclEntry e aclPropagate si applicano alla definizione ACI. Le informazioni entryOwner definiscono i soggetti che possono definire l'ACI per l'oggetto voce associato. Gli attributi entryOwner e ownerPropagate si applicano alla definizione entryOwner .

Ci sono due tipi di liste di controllo degli accessi che è possibile scegliere da: ACL a base di filtri e ACL non filtrati. Gli ACL non filtrati si applicano esplicitamente alla voce della directory che li contiene, ma possono essere propagati a nessuno, o a tutte le sue voci discendenti. Gli ACL basati su filtro differiscono in quanto impiegano un confronto basato su filtro, utilizzando un filtro oggetto specificato, per abbinare gli oggetti di destinazione con l'accesso efficace che si applica a loro.

Utilizzando gli ACL, gli amministratori possono limitare l'accesso a diverse porzioni della directory, voci di directory specifiche e, in base al nome dell'attributo o alla classe di accesso agli attributi, gli attributi contenuti nelle voci. Ogni voce all'interno della directory LDAP ha una serie di ACI associati. In conformità con il modello LDAP, le informazioni ACI e entryOwner sono rappresentate come coppie attributo - valore. Inoltre, la sintassi LDIF viene utilizzata per amministrare questi valori. Gli attributi sono:

  • aclEntry
  • aclPropagate
  • ibm-filterAclEntry
  • ibm-filterAclInherit
  • entryOwner
  • ownerPropagate

Per ulteriori informazioni, consultare quanto segue: