ACL Check Algorithmus

[Serow]

Hi,

hier mal ein Ausschnitt aus einem PDF das ACLs beschreibt:

As a basic rule, the ACL entries are examined in the
following sequence: owner, named user, owning group or named group, and other.
The access is handled in accordance with the entry that best suits the process;
permissions do not accumulate.
Things are more complicated if a process belongs to more than one group and
would potentially suit several group entries. An entry is randomly selected from
the suitable entries with the required permissions. It is irrelevant which of the
entries triggers the final result ?access granted?. Likewise, if none of the suit-
able group entries contains the correct permissions, a randomly selected entry
triggers the final result ?access denied?.

Ich verstehs' nicht mehr ab "An entry is randomly selected...". Das ist der Fall, wenn z.B. der User der den Prozess gestartet hat Mitglied zweiter Gruppen ist, die beide als ACL Einträge vorhanden sind.

An entry is randomly selected from the suitable entries with the required permissions. It is irrelevant which of the entries triggers the final result ?access granted?.

Warum sollte da immer "access granted" rauskommen? Sagen wir group1 hat rwx, group2 hat ---. Er sucht sich zufällig group2 aus und sollte doch "access denied" zurückgeben oder sehe ich das jetzt falsch?

cu
serow

 

[T-Moe]

Er sucht sich nicht zufällig irgendeine Rolle aus, sondern eine der Gruppen, in denen der Benutzer Mitglied ist UND die die für diesen Zugriff nötigen Rechte haben ("with the required permissions").

 

[Serow]

Also sucht er sich erst die Einträge für die Gruppen raus zu denen der User gehört, schaut dann welche der Gruppen erlaubt dem User das was er will und wählt aus denen dann eine zufällig aus - richtig verstanden?