Rbac liên quan đến dac và mac như thế nào
ACL (Access Control List - Danh sách điều khiển truy cập)
Ví dụ
Ví dụ : Phân quyền trong DAC (Discretionary Access Control - Điều khiển truy cập tùy quyền)
Ví dụ
Ví dụ : Phân quyền file trong các hệ điều hành. MAC (Mandatory access control - Điều khiển truy cập bắt buộc)
Ví dụ
Ví dụ : SELinux. RBAC (Role-Based Access Control - Điều khiển truy cập theo vai)
Ví dụ
=>
Ví dụ : Phân quyền của VBulettin, Xenforo, ...v...v... Kết luậnCó thể dễ dàng thấy, với các hệ thống như ACL, MAC, DAC, việc implement phân quyền cho các hệ thống trở nên dễ dàng hơn. Hệ thống chỉ cần kiểm tra Subject là ai, Object là gì, Action là sao, rồi so sánh với danh sách truy cập để quyết định Action này có thể được thực hiện hay không. Tuy nhiên, khi có nhiều người dùng có quyền giống nhau, việc bổ sung quyền trở nên phức tạp thì bạn có thể dùng RBAC. Giả sử như trên ví dụ trên, ta có 200 người dùng. Và người dùng có thể sửa bài viết, với ACL bạn sẽ phải thêm 200 bản ghi "Subject X" có thể "Sửa" "Bài viết". Hi vọng qua bài viết này, các bạn có thể dễ dàng chọn lựa mô hình phân quyền phù hợp cho hệ thống của mình. Nevermore - 04-07-2019 RBAC (Kiểm soát truy cập dựa trên vai trò) dựa trên việc xác định danh sách các vai trò nghiệp vụ và thêm mỗi người dùng trong hệ thống vào một hoặc nhiều vai trò. Các quyền và đặc quyền sau đó được cấp cho từng vai trò và người dùng nhận được chúng thông qua tư cách thành viên của họ trong vai trò đó (tương đương với một nhóm). Các ứng dụng thường sẽ kiểm tra người dùng về tư cách thành viên trong một vai trò cụ thể và cấp hoặc từ chối quyền truy cập dựa trên đó. Lợi ích chính của RBAC so với DAC, là dễ quản lý - về nguyên tắc, bạn có rất ít vai trò, được quản lý tập trung, bất kể có bao nhiêu người dùng và vấn đề
chỉ là cấp cho mỗi người dùng vai trò chính xác ; trái ngược với DAC, trong đó đối với mỗi người dùng mới (hoặc thay đổi người dùng, hoặc xóa, v.v.), bạn phải xem xét tất cả các tài nguyên mà họ cần truy cập và thêm chúng vào danh sách. Ví dụ rất phổ biến về DAC là hệ thống tệp Windows. Mặt khác, ví dụ rất phổ biến của RBAC là DAC trên máy chủ tệp của công ty - bất kỳ ai trong nhóm ActiveDirectory "Bán hàng" sẽ có quyền truy cập vào thư mục \ Sales \ shared. Phổ biến hơn là nhóm Quản trị viên trong Windows. MAC là Kiểm soát Truy cập Bắt buộc, đây có thể được xem như một phân loại hoặc mức độ riêng tư. Điều này thường được sử dụng nhất trong các hệ thống quân sự, và trở lại trong những ngày Mainframe :). Không còn được sử dụng nhiều nữa, mặc dù hệ điều hành hiện tại đang triển khai một hương vị của điều này, chẳng hạn như Mức độ toàn vẹn của Vista / Win7. Để tổng hợp những điểm khác biệt:
|