1 671 Table of Contents 673 976

Sistemas operativos modernos

del grupo de aficionados a las palomas mensajeras. Los miembros de ese club pertenecen al grupo afipal y tienen acceso a las computadoras de la compañía para administrar su base de da­ tos de palomas. Una porción de la posible ACL se muestra en la figura 9-26. Archivo Lista de control de acceso Contraseña tana, sysadm: RW Datos_palomas beto, afipal: RW; tana, afipal; RW;... Figura 9-26. Dos listas de control de acceso. Si Tana trata de tener acceso a uno de estos archivos, el resultado dependerá del grupo en el que haya iniciado sesión. Al iniciar sesión, el sistema podría pedirle que escoja cuál de sus grupos va a usar, o bien podría haber contraseñas y/o nombres de inicio de sesión distintos para mantener separados los grupos. Lo que se busca con este esquema es impedir que Tana tenga acceso al archivo de contraseñas si de momento está en su papel de aficionada a las palomas. Sólo podrá hacerlo si inició sesión como administradora del sistema. En algunos casos, un usuario podría tener acceso a ciertos archivos independientemente del grupo en el que haya iniciado sesión. Ese caso puede manejarse introduciendo comodines, que abarcan a todo mundo. Por ejemplo, la entrada tana, *: RW para el archivo de contraseñas otorgaría acceso a Tana sin importar en qué grupo haya inicia­ do sesión. Una tercera posibilidad es que si un usuario pertenece a cualquiera de los grupos que tie­ nen ciertos derechos de acceso, se permite el acceso. En este caso, un usuario que pertenece a varios grupos no fiene que especificar, en el momento de iniciar sesión, el grupo que usará; todos cuentan todo el tiempo. Una desventaja de este método es que ofi'ece menos encapsulamiento: Tana puede editar el archivo de contraseñas durante una reunión del club de palomas. El uso de grupos y comodines presenta la posibilidad de bloquear de manera selecfiva el acceso de un usuario específico a un archivo. Por ejemplo, la entrada Virgilio, *: (none); *, *: RW otorga a todo mundo, excepto a Virgilio, acceso de lectura y escritura al archivo. Esto funciona porque las entradas se leen en orden, y se usa la primera que aplica; las entradas subsiguientes ni siquiera se examinan. En el caso de Virgilio, hay coincidencia en la primera entrada, así que se apfican los derechos indicados en esa entrada, en este caso none (ninguno). La búsqueda ter­ mina en ese punto. El hecho de que el resto del mundo tiene acceso ni siquiera se percibe. La otra forma de manejar grupos es que cada entrada sea un UID o bien un GID, no un par (UID, GID). Por ejemplo, una entrada para el archivo datos_palomas podría ser diana: RW; fito: RW; afipal: RW

RkJQdWJsaXNoZXIy MjI4NDcx