Cesko.wiki Discretionary Access Control
Author
Albert FloresDiscretionary Access Control (DAC) je v informatice typem kontroly přístupu, který definoval Trusted Computer System Evaluation Criteria. Je založený na kontrole přístupu tím, že ověřuje, které skupině nebo subjektu objekt patří. Systém je nazván „rozvahový“ nebo „posudkový“ v tom smyslu, že daný subjekt s určitými přístupovými právy je schopen předávat toto povolení na jiný subjekt.
Tento způsob zabezpečení je uváděn jako protiklad zabezpečení MAC (Mandatory Access Control - povinná přístupová kontrola). U MAC má systém povinnost řídit přístup ke všem subjektům, ale u DAC je to čistě na jeho uvážení. +more V systému však mohou být použity oba systémy zároveň. DAC řídí přístup k jedné kategorii subjektů, které si mohou předávat oprávnění navzájem a MAC řídí přístup druhé kategorie subjektů, kde se přístup dědí od prvního z nich.
Implementace
Význam pojmu v praxi není až tak jednoznačný. Definice jsou uvedeny v normě TCSEC, ale neurčují, jakou má přesně DAC koncepci. +more DAC má přinejmenším dvě implementace: s uživatelem a s kvalifikací.
S vlastníkem
Termín DAC je použit v kontextu s tím, že každý objekt má svého vlastníka, který kontroluje přístup k objektu. Tento způsob používá většina operační systémů, ale TCSEC definice neříká nic o tom, že subjekt má mít svého vlastníka. +more Takže technicky vzato přístupový systém (zabezpečení by nemělo mít svého vlastníka), když se chceme řídit tím, co TCSEC říká o DAC.
S kvalifikací
Jako další příklad je systém „kvalifikace“ (capability system). Tento systém je právě často nazýván jako rozhodovací systém, jelikož každý subjekt převádí svoje práva na jiné subjekty. +more V praxi to znamená, že podřazené subjekty dědí svoje práva od svých nadřazených subjektů. Pokud tedy chce například uživatel přistoupit k nějakému subjektu, musí mít přístup k jeho nadřazenému subjektu. V praxi to znamená, že pro zobrazení souboru ve složce musí mít uživatel práva na otevírání složky.