26. Избирательный (дискреционный) контроль доступа. Ролевой контроль доступа
Изберательный (дискреционный) контроль доступа - в том или ином виде существует матрица вида: субъекты <-> объекты
Методы присвоения дискреционного доступа
Суперпользователь
Система имеет суперпользователя, и только он имеет право устанавливать любые другие права
- удобно контролировать выдачу прав
- вся ответственность ложится на 1-го человека
- объём выполняемых операций может быть слишком большим для того, чтобы ими управлял один суперпользователь
Владельцы
Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем, который может назначать права доступа
- обычно владелец - создатель объекта
- обычно всё равно есть суперпользователь
Делегирование своего доступа
Субъект с определённым правом доступа может передать это право другому субъекту
- либо делается дополнительный доступ на делегирование. Используется, чтобы тот, кто получил доступ, не получил доступ на само делегирование, тем самым прерывается "цепочка делегирования"
Access Control List (ACL) - это лист, в котором хранятся субъекты, имеющие доступ к данному объекту (или перечень объектой, к которым имеет доступ данный субъект) (хранится для каждой таблицы/столбца)
Ролевая модель доступа
Дискреционная матрица строится относительно роль <-> объект (вместо субъект <-> объект), а каждый субъект в свою очередь характеризуется совокупностью ролей