1 670 Table of Contents 672 976

Sistemas operativos modernos

Espacio usuario Espacio )*de kernel Figura 9-25. Uso de listas de control de acceso para administrar el acceso a archivos. quier proceso propiedad del usuario A puede leer y escribir el archivo F l. No importa si sólo hay un proceso así o si hay 100. Es el dueño, no el identificador de proceso, lo que importa. El archivo F2 tiene tres entradas en su ACL: A, B y C pueden leer el archivo, y B puede además escribirlo. No se permite ningún otro acceso. Al parecer, F3 es un programa ejecuta­ ble, porque tanto B como C pueden leerlo y ejecutarlo. B también puede escribirlo. Este ejemplo ilustra la forma más básica de protección con hstas ACL. En la prácfica sue­ len usarse sistemas más elaborados. Por principio de cuentas, sólo hemos mostrado tres dere­ chos hasta ahora: leer, escribir y ejecutar, pero podría haber otros. Algunos de ellos podrían ser genéricos, es decir, aplicables a todos los objetos, y algunos podrían ser específicos para un ob­ jeto. Como ejemplos de derechos genéricos tenemos destruir objeto y copiar objeto. Éstos podrían aplicarse a cualquier objeto, sea del tipo que sea. Los derechos para objetos específi­ cos podrían ser, por ejemplo, anexar mensaje para un objeto de buzón y ordenar alfabéti­ camente para un objeto de directorio. Hasta aquí, nuestras entradas de ACL han sido para usuarios individuales. Muchos siste­ mas manejan el concepto de grupos de usuarios. Los grupos fienen nombre y se pueden incluir en las ACLs. Puede haber dos variaciones de la semántica de grupos. En algunos sistemas, ca­ da proceso tiene un idenfificador de usuario (UID) y un idenfificador de grupo (GID). En tales sistemas, una entrada de ACL contiene elementos de la forma UID1, GID1:derechos1; UID2, GID2: derechos2; ... En estas condiciones, cuando se solicita acceso a un objeto, se efectúa una verificación em­ pleando el UID y el GID del solicitante. Si esos idenfificadores están presentes en la ACL, el proceso tendrá los derechos indicados. Si la combinación (UID, OID) no está en la lista, no se permite el acceso. Esta forma de usar los grupos presenta el concepto de rol. Consideremos una instalación en la que Tana es la administradora del sistema, y por tanto está en el grupo sysadm. Suponga­ mos también que la compañía fiene ciertos clubes para los empleados y que Tana es miembro

RkJQdWJsaXNoZXIy MjI4NDcx