Partager via


Parties du modèle Access Control

Il existe deux parties de base du modèle de contrôle d’accès :

Lorsqu’un utilisateur se connecte, le système authentifie le nom de compte et le mot de passe de l’utilisateur. Si l’ouverture de session réussit, le système crée un jeton d’accès. Chaque processus exécuté au nom de cet utilisateur aura une copie de ce jeton d’accès. Le jeton d’accès contient des identificateurs de sécurité qui identifient le compte de l’utilisateur et tous les comptes de groupe auxquels l’utilisateur appartient. Le jeton contient également une liste des privilèges détenus par l’utilisateur ou les groupes de l’utilisateur. Le système utilise ce jeton pour identifier l’utilisateur associé lorsqu’un processus tente d’accéder à un objet sécurisable ou d’effectuer une tâche d’administration système qui nécessite des privilèges.

Lorsqu’un objet sécurisable est créé, le système lui attribue un descripteur de sécurité qui contient des informations de sécurité spécifiées par son créateur, ou des informations de sécurité par défaut si aucune n’est spécifiée. Les applications peuvent utiliser des fonctions pour récupérer et définir les informations de sécurité d’un objet existant.

Un descripteur de sécurité identifie le propriétaire de l’objet et peut également contenir les listes de contrôle d’accès suivantes :

Une liste de contrôle d’accès contient une liste d’entrées de contrôle d’accès (ACA). Chaque ACE spécifie un ensemble de droits d’accès et contient un SID qui identifie un fiduciaire pour lequel les droits sont autorisés, refusés ou audités. Un fiduciaire peut être un compte d’utilisateur, un compte de groupe ou une session d’ouverture de session.

Utilisez des fonctions pour manipuler le contenu des descripteurs de sécurité, des SID et des ACL plutôt que d’y accéder directement. Cela permet de s’assurer que ces structures restent exactes du point de vue de la syntactique et d’empêcher les améliorations futures apportées au système de sécurité de briser le code existant.

Les rubriques suivantes fournissent des informations sur les parties du modèle de contrôle d’accès :