Diskussion:Access Control List
Nautilus und ACLs
BearbeitenWas ist die Quelle fuer den ACL Support in Nautilus? Geht hier nur mit dem Zusatztool "eiciel". --213.55.75.11 12:33, 8. Okt. 2009 (CEST)
Ursprung
BearbeitenEs sollte auf den Ursprung der ACLs verwiesen werden, dass sie als Erweiterung zu den Standard-Unix-Permissions gedacht waren, das damit ein gegensaetzliches Konzept aufgenommen wurde (Tickets!)
Mir ist der gesamte Artikel wesentlich zu technisch. Zu ACLs existiert außer den konkreten Implementierungen auch ein sauberes Konzept, das hinter dem Ganzen steht, und das man vielleicht in einem neuen Abschnitt "Funktionsweise" o.ä. zusammenfassen könnte. Wenn niemand was dagegen hat, werde ich das bei Gelegenheit ergänzen. --Oimel 10:22, 28. Jan. 2007 (CET)
- Wäre an dieser Stelle nicht auch ein Verweis auf Discretionary Access Control (DAC) als zu Grunde liegendes Konzept sinnvoll? --83.135.188.169 20:04, 21. Aug. 2022 (CEST)
Linux
BearbeitenEs sollte noch darauf hingewiesen werden, dass Linux als Kernel sowie viele Sublevel- und Dateisysteme zwar ACLs unterstützen, dies allerdings bei den wenigsten Distributionen Standard ist und die wenigstens Anwendungen (gerade Server) ACLs sinnvoll unterstützen. Letzteres müsste allerdings belegt werden.
- Das kann ich so nicht bestätigen - Suse und Fedora Core werden mit voller ACL-Unterstützung ausgeliefert, KDE unterstützt es standardmäßig seit 3.5. Was fehlt dir denn? --Liquidat, Diskussion, 21:06, 3. Mär 2006 (CET)
Z.B. dass es eben nicht Standard ist (Für sehr viele Leute ist Linux synonym für alle Distros). Und dass sich die ACLs nicht bis auf Anwendungsebene durchziehen. Beispielsweise kann ein Apache zwar (dank des FS) den Zugriff mittels FS auf Dateien, die mit ACLs versehen sind, regeln, aber auf HTTP-Seite tut er das nicht, oder nur mit Mühen und bisher nicht vollständig.
- Gut, aber das ist dann vermutlich auch bei Apache auf Windows- und anderen Unix-Systemen so, oder? Da der Apache zwar knapp 80% des Marktes der Webserver hält, aber Linux auf den Servern dieser Welt mit unter 20% vertreten ist, ist die direkte Relation Apache<->Linux recht schwer zu fassen. --Liquidat, Diskussion, 21:09, 5. Mär 2006 (CET)
Es sollte auch darauf hingewiesen werden, daß Linux keinen ACL-Standard unterstützt, sondern nach dem Jahr 2000 einen um Jahre 1999 aufgegebenen Standardentwurf implementiert. Der einzige zur Zeit existierende ACL-Standard ist das ACL-System von NTFS, das Bestandteil des NFSv4 RFCs geworden ist: http://www.ietf.org/rfc/rfc3530.txt und der auch bitidentisch in ZFS implementiert wurde. Schily 19:21, 6. Mär. 2010 (CET)
Windows
BearbeitenHier im wikipedia-Artikel heißt es, dass die Abarbeitung der ACL abgebrochen wird, sobald ein deny gefunden wird. In der c't 2006/13 p. 220 ff heißt es, die ACL werde immer komplett durchgearbeitet und ausgewertet, aber auch, dass ein deny immer Vorrang hat. Nun ... die praktische Bedeutung des Unterschieds erschließt sich mir nicht, müsste eigentlich auf das Gleiche rauskommen. Aber, wenn eine derartige Aussage über die Abarbeitungsweise der ACL gemacht wird, sollte sie auch stimmen. Macht sonst keinen guten Eindruck ;-) Ich bin geneigt, der c't zu glauben, aber ... weiß man's ...
- Der praktische Unterschied wird klarer, wenn man sich vor Augen hält, was ich in einem Artikel von Microsoft gelesen zu haben meine, hab aber die Quelle leider nicht mehr gefunden. Dort stand, dass DENY zwar immer Vorrang hat, bei Zugriffen auf Dateien aber solche Rechte, die dem Objekt explizit zugewiesen wurden, aber vererbte Rechte übertreffen. Wenn Dateien also vom übergeordneten Ordner für Schreibrechte an Benutzer XY DENY bekommen, eine Datei in diesem Ordner aber explizit für Benutzer XY ALLOW gesetzt hat, kann der Benutzer schreibend auf diese Datei zugreifen. Ohne eine komplette Auswertung der ACEs wäre das nicht möglich. 84.191.27.139 10:03, 23. Mai 2007 (CEST)
Folgendes zur Info: Zur Bestimmung der Zugriffsrechte eines Threads auf ein Objekt wird vom Betriebssystem das "Acces Token" des Threads (User/Group SIDs des aktuellen Users, Privileges) mit dem "Security descriptor" des Objekts (User/Group SIDs des Owners, System-ACL, Discretionary-ACL) verglichen. Dabei werden die ACEs in der DACL, die sich auf den anfordernden User auswirken, sequentiell durchgegangen und die geforderten Rechte (z.B. read/write-access) abgeprüft. Die Überprüfung wird abgebrochen, sobald für alle geforderten Rechte mindestens ein "Granted"- oder ein "Denied"-Eintrag gefunden wurde oder die Liste zu Ende ist. Setzt man die DACL-Einträge implizit über "High-Level"-Security-Funktionen (zum Beispiel per Rumklicken mit dem Windows-Explorer), werden "Deny"-Einträge vor "Grant"-Einträge gesetzt. Mit "Low-Level" ACL und ACE-Funtkionen können die Einträge in den Listen aber auch individuell generiert werden.
ReiserFS und ACL ?
BearbeitenHallo, soweit ich weiß, unterstützt ReiserFS doch gar keine ACL?
- doch, sogar schon recht lange. Leider steht im Artikel ReiserFS nichts davon. --Benji 20:04, 4. Sep 2006 (CEST)
ACLs und OS X bzw. anderes
BearbeitenHallo,
erstens: Unter OS X 10.4(.7) konnte ich bis jetzt noch keine Anzeichen der Unterstützung von ACLs feststellen. Auch stehen selbige Konsolenanwendungen (vom BSD-"Sub"system) nicht zur Verfügung (z.B. getacl/setacl bei POSIX-konformen ACLs). Stimmen diese Informationen?
zweitens: Was soll der Satz Durch Patches lassen sich viele Betriebssysteme mit Access Control List-Funktionalität ausstatten.? Könnte man das genauer erläutern? Alles andere hat wenig Sinn, denn durch Patches kann man auch aus einem Windows ein Unix machen, doch ist das nicht der eigentliche Sinn von Patches.
Viele Grüße, --84.178.41.149 17:29, 4. Sep 2006 (CEST) aka Benutzer:Benji
- so, ich habe etwas nachgeforscht: Nirgendwo im Artikel Mac OS X oder seiner zahlreichen englischen Übersetzungen ist bei Mac OS X 10.4 von der Einführung von ACLs die Rede. Allerdings wird man auf Apples Homepage fündig: http://www.apple.com/server/macosx/features/windowsservices.html - ziemlich weit unten. Das zum Screenshot gehörende Fenster hab ich allerdings noch nie gesehen, und dort ist von ACLs auch nur in Verbindung imt Windows-Shares die Rede.
- Grüße, --Benji 20:04, 4. Sep 2006 (CEST)
Ist zwar durch die Einführung von 10.5 (Leopard) überholt, aber hinsichtlich ACLs unter 10.4 noch interessant: http://www.bresink.com/osx/193281/Docs-de/ACL.html 217.237.148.104 17:41, 2. Feb. 2008 (CET)
Dokumentation
BearbeitenGibt es irgendwo (im Netz) eine gute, verständliche und allgemeine Dokumentation über ACLs? Also, nichts rein Windows, Linux/Unix oder MULTICS spezifisches. Insbesondere wäre eine Diskussion über die Speicherung und Kodierung der ACLs interessant. Für den Wikipedia-Artikel würde ein Link auf so eine Dokumentation schon genügen.
- Die Konzepte der ACLs von Unix und von Windows unterscheiden sich zu sehr, als dass man da viele Gemeinsamkeiten finden könnte. Die Unix-ACLs sind einfach eine Erweiterung der klassischen "rwx"-Dateirechte, wie es im Einleitungssatz ja auch steht.
- Wie die ACLs im Dateisystem gespeichert werden ist bei jedem Dateisystem verschieden, so wie klassischen Dateirechte ja auch in dateisystemabhängiger Weise gespeichert werden. Da musst du also die Dokumentation der dich interessierenden Dateisysteme studieren. Für den Anwender ist das aber normalerweise irrelevant, es stehen ja standardisierte Betriebssystemfunktionen zur Verfügung, mit denen auf die ACLs zugegriffen werden kann. --RokerHRO 06:25, 31. Dez. 2007 (CET)
nacl
BearbeitenBei Eingabe von >>nacl<< komme ich auf diese Seite. Sollte man nicht vielmehr auf Natriumchlorid oder zumindest auf einer Übersichtseite enden? --134.76.3.142 16:46, 6. Mai 2009 (CEST)
- Danke für den Hinweis. ich habe den überflüssigen Redirect zur Löschung vorgeschlagen. --P.C. ✉ 16:51, 6. Mai 2009 (CEST)
HP-UX
BearbeitenIm Artikel wird behauptet, HP-UX wäre das erste System mit ACL-Unterstutzung gewesen ohne jedoch ein Datum zu nennen und ohne einen Beleg zu erbringen. Wenn das nicht belegt wird, wird man diese Behauptung wohl entfernen müssen. Solaris hat übrigens seit 1993 ACL-Unterstützung und seit 1994 eine brauchbare (weil ausreichend komplette) Implementierung. Schily 19:27, 6. Mär. 2010 (CET)
keine POSIX-ACLs?
BearbeitenWieso implementiert man 2000 einen Standard, der 1997 zurückgezogen wurde? --RokerHRO 08:14, 8. Mär. 2010 (CET)
- Das ist nicht so ganz klar. Ich erinnere mich daran, daß um ca. 1997 Diskusionen in den News gelaufen sind in denen Nutzer sogenannte Verweigerungs-ACLs forderten. Die zurückgezogenen POSIX draft ACLs lassen sich hingegen erheblich einfacher implementieren als die NTFS ACLs. Du könntest aber z.B. mal Andreas Grünbacher befragen. Vielleicht hat ja die FreeBSD Implementierung auch die von Linux beeinflußt. Schily 10:50, 8. Mär. 2010 (CET)
- Was sind Verweigerungs-ACLs? --RokerHRO 11:58, 8. Mär. 2010 (CET)
- z.B. ACLs die die Anweisung enthalten: Du darfst nicht lesen und nicht schreiben. Wird ein solches ACE gefunden, dann wird die Auswertung der ACLs abgebrochen und Dir der Zufriff verwehrt. Schily 12:13, 8. Mär. 2010 (CET)
- Was sind Verweigerungs-ACLs? --RokerHRO 11:58, 8. Mär. 2010 (CET)
Nachtrag: Warum wurde der Standard für POSIX-ACLs denn zurückgezogen? --RokerHRO 08:14, 8. Mär. 2010 (CET)
- Das ist unbekannt. Zu dieser Zeit habe ich noch nicht an den POSIX Diskusionen teilgenommen. Die obengenannten Diskusionen dürtfen aber einen erheblichen Anteil daran gehabt haben. Schily 10:50, 8. Mär. 2010 (CET)
- Wie wurden diese "Verweigerungs-ACLs" denn von ls oder lsattr dargestellt? --RokerHRO 23:32, 1. Aug. 2011 (CEST)
POSIX ACLs ausbaufähig?
BearbeitenSollte man zu den POSIX-ACLs noch ein bisschen mehr schreiben, oder sind die eh auf einem absteigenden Ast, da der Standard ja nicht "released" wurde? Werden sie denn "in the wild" auch benutzt oder sind sie akademisch? --RokerHRO 23:41, 1. Aug. 2011 (CEST)
btrfs?
BearbeitenIch geh davon aus, dass btrfs auch ACLs vollständig (!) unterstützt, genau weiß ichs aber nicht. Stimmts?