ACLs and Capability tables
cissp...@gmail.com
ACL: "Access permissions based on individual user rights",所以是從Subject角
度, P.84 Slide 50,Capability Tables: "Rights granted for access
according to objects",所以可說從Object角度.
但在All In One中P.170 Figure 4-11,"A capability table is bound to a
subject, whereas an ACL is bound to an object.", 講的好像與CBK相反, 還是我搞錯了?請各位
大大指點一下,甘溫啦! 引言回覆
07/11/06 9:36
kenation
相簿
影片
網誌
留言
首頁
[加為我的好友]
majestyyp250 寫到:
最近在讀Access Control這章時,發現CBK(7.0)與All In One講的好像不太一樣,CBK P.82 Slide 45 說
ACL: "Access permissions based on individual user rights",所以是從Subject角
度, P.84 Slide 50,Capability Tables: "Rights granted for access
according to objects",所以可說從Object角度.
但在All In One中P.170 Figure 4-11,"A capability table is bound to a
subject, whereas an ACL is bound to an object.", 講的好像與CBK相反, 還是我搞錯了?請各位
大大指點一下,甘溫啦!
您好像有點誤解CBK裡,英文字句的涵義了。
"Access permissions based on individual user rights",意思就是ACL依據各個user的權
限,來決定是否有權存取。既然它面對的是眾多user,自然就是"bound to one single object"了。所以跟All-in-
One應該沒有衝突,講的是一樣的意思喔。 引言回覆
07/11/06 10:33
lushaohsun
相簿
影片
網誌
留言
首頁
[加為我的好友]
Hi! 您好,
針對這個問題,剛剛我又去翻了一下7.0版原廠教材,讀了一下後,發表一下個人的看法。
我個人認為,
1.Access Control List: 主要用途是用來設定"使用者"對某個"資源"有沒有存取的權限。也就是說,例如A使用者對
object A有access權限,對object B則沒有access權限。而這裡的access權限,是指有沒有權力去存取,比較像是課本第
82頁第46個slide裡劃 X 這樣的表示方法,而沒有細到去區分read, write , execute等這樣的權限。(因此比較是從使用者
的角度來看權限的劃分)
2.Capability Tables: 這種權限的劃分,就如同課本第84頁的第50個slide所說的,每個使用者對每一個不同的object,
擁有各種read,write,execute等不同權限。
舉例來說:
A使用者對object A擁有read的權限,對object B擁有write權限。
B使用者對object B擁有execute的權限,對object B則擁有full control的權限。
而把上述這樣的角色與權限的關係整合起來,就是Capability Tables。
也因此看起來,權限的給予,比較是從各個不同的object而來的。(Rights granted for access according
to objects)
而針對All in one所說的,"A capability table is bound to a subject, whereas an
ACL is bound to an object." ,由於英文能力的關係,不敢貿然為您做出回答。不過基本上來說,我比較贊同原廠教材的觀念,
因為比較言簡意賅。 引言回覆
07/11/06 11:04
majestyyp250
相簿
影片
網誌
留言
首頁
[加為我的好友]
majestyyp250 寫到:
最近在讀Access Control這章時,發現CBK(7.0)與All In One講的好像不太一樣,CBK P.82 Slide 45 說
ACL: "Access permissions based on individual user rights",所以是從Subject角
度, P.84 Slide 50,Capability Tables: "Rights granted for access
according to objects",所以可說從Object角度.
但在All In One中P.170 Figure 4-11,"A capability table is bound to a
subject, whereas an ACL is bound to an object.", 講的好像與CBK相反, 還是我搞錯了?請各位
大大指點一下,甘溫啦!
再仔細看一次CBK說明,是我搞錯了,CBK P.82說明, ACLs: ACLs proved an easy method of
specifying a list of users who are allowed access to each object.所以是從
Object角度看.
CBK P.84說明,Capability Tables: Tables ...... identify the objects and
specify the access rights authorized for subjects possess the
capability(ticket). 所以是從Subject角度.
CBK與AIO講的是一樣的,真是被CBK Slides搞混了, 我就記得Roland老師也是這麼說明的, 後悔上課沒錄音, 殘念, Make
Mistake 引言回覆
07/11/06 13:34
cissptaiwan
相簿
影片
網誌
留言
首頁
[加為我的好友]
你若記得, 我在敎材上有各加上一句話:
ACL : OBJECT (subject, operations)
針對 OBJECT 設定存取權限, 方式:那些 SUBJECT 可以對該 OBJECT 進行什麼 "operations"
Capability Table : SUBJECT : (object, operations)
針對 SUBJECT 設定存取權限, 方式:該 SUBJECT 可以對那些 OBJECT 進行什麼 "operations"
這樣比較不會混淆.
-Roland