Administration / Chapitre 35. Listes de contrôle d'accès sous Linux | ||||
|---|---|---|---|---|
 | 34.4. Sécurité et confidentialité | 35.2. Définitions |  | |
Administration / Chapitre 35. Listes de contrôle d'accès sous Linux | ||||
|---|---|---|---|---|
| 34.4. Sécurité et confidentialité | 35.2. Définitions | | |
Table des matières
Résumé
Ce chapitre présente un bref résumé de l'arrière-plan et des fonctions des ACL POSIX (listes de contrôle d'accès) concernant les systèmes de fichiers Linux. Les ACL peuvent être utilisées à titre d'extension du principe traditionnel de droits d'accès aux objets systèmes de fichiers. Grâce aux ACL, il est possible de définir les droits d'accès avec plus de souplesse que le principe traditionnel de droits d'accès ne le permet.
L'expression ACL POSIX suggère qu'il s'agit d'un vrai standard POSIX (Portable Operating System Interface, interface de système d'exploitation portable). Pour différentes raisons, les projets de standards respectifs POSIX 1003.1e et POSIX 1003.2c ont été abandonnés. Néanmoins, les ACL telles qu'on les trouve sur de nombreux systèmes appartenant à la famille UNIX sont basés sur ces documents et la mise en œuvre des ACL des systèmes de fichiers comme décrit dans ce chapitre suit ces deux standards également. Vous pouvez les consulter à l'adresse http://wt.xpilot.org/publications/posix.1e/.
Traditionnellement, trois ensembles de droits d'accès sont définis
pour chaque objet fichier sur un système Linux. Ils incluent les droits de
lecture (r), d'écriture (w) et
d'exécution (x) pour chacun des trois types
d'utilisateurs—le propriétaire du fichier, le groupe et les autres
utilisateurs. En outre, il est possible de définir le bit set user
id, set group id et
sticky. Dans la pratique courante, ce principe simplifié suffit
amplement. Cependant, pour des scénarios plus complexes ou des applications
plus avancées, les administrateurs système devaient autrefois avoir recours
à un certain nombre d'astuces pour contourner les limites du principe
traditionnel de droits d'accès.
Les ACL peuvent être utilisées dans les situations qui requièrent une extension du principe traditionnel des droits d'accès aux fichiers. Elles permettent d'attribuer des droits à des utilisateurs individuels ou à des groupes, même si ces derniers ne correspondent pas au propriétaire originel ou au groupe propriétaire d'un fichier. Les listes de contrôle d'accès sont une fonctionnalité du noyau Linux et sont actuellement prises en charge par ReiserFS, Ext2, Ext3, JFS et XFS. Grâce aux ACL, des scénarios complexes sont réalisables sans avoir à mettre en œuvre des modèles de droits d'accès complexes au niveau des applications.
Les avantages des ACL ressortent de façon évidente dans une situation comme le remplacement d'un serveur Windows par un serveur Linux. Certaines des stations de travail connectées peuvent continuer à tourner sous Windows, même après la migration. Le système Linux propose des services de fichiers et d'impression aux clients Windows grâce à Samba. Étant donné que Samba prend en charge les listes de contrôle d'accès, les droits d'accès utilisateur peuvent être configurés à la fois sur le serveur Linux et sous Windows via une interface graphique (uniquement sous Windows NT et les versions ultérieures). Avec winbindd, il est même possible d'affecter des droits d'accès à des utilisateurs qui n'existent que dans le domaine Windows, sans aucun compte sur le serveur Linux.
