2.2 基础知识

2.2.1 基于角色的访问控制

访问控制涉及的对象主要有两类：客体和主体。客体是访问控制要保护的对象，如信息系统中的文件、目录，数据库中的表、记录等数据，基础设施中的网络设备，等等。主体是访问控制要制约、被控制的对象，一般来说，用户以及用户操作产生的进程可以认为是主体。通常，访问控制可以分为三大类：自主访问控制、强制访问控制和基于角色的访问控制。

基于角色的访问控制是指在一个组织机构内部，系统为不同的工作岗位创建对应的角色，对每一个角色分配不同的操作权限（如读、写、执行等）。用户通过所分配的角色获得相应的操作权限，实现对信息资源（目录或文件）的访问。例如，对用户划分用户组，对不同用户组赋予不同的操作权限，这里的用户组可以看作角色。

对于服务器技术来说，用户及用户组可以看作访问控制的主体，服务器目录或文件可以看作访问控制的客体。

2.2.2 用户及用户组

网络操作系统是多用户多任务的系统，允许多个用户同时登录系统。为了保障每个用户都能顺利工作，每个用户的权限都要遵循相应规范。为了区分不同的用户，就产生了用户账户。

用户账户是用户的身份标识，用户通过其账户可以登录操作系统，依据访问控制策略访问被授权的资源。每个用户账户都有特定的工作环境，用户账户之间相互独立、互不干扰。

为了方便用户账户的管理，产生了用户组的概念。用户组是具有相同权限的用户的集合。有了用户组，在制订访问控制策略时就可以把权限赋予某个用户组，组中的用户可以自动继承这些权限。一个用户可以加入到多个用户组。

在服务器技术中，安装完某个服务器程序之后，一般都会自动创建一个该服务的默认账户。例如，FTP服务器安装完成之后，会自动创建FTP匿名账户。

2.2.3 访问权限

操作系统中的每一个目录或文件都包含相应的访问权限，这些访问权限决定了谁能访问和如何访问这些目录或文件。

目录或文件的访问权限一般分为只读、只写和可执行3种基本权限。以文件权限为例，只读权限表示允许读取文件内容，而禁止对文件做任何更改操作；只写权限表示允许对文件进行任何修改，但不允许读取文件的内容；可执行权限表示允许将该文件作为一个程序执行。

创建目录或文件时，创建者即为目录或文件的所有者。目录或文件的所有者自动拥有对该目录或文件的读、写、执行权限。管理员可以更改目录或文件的所有者，也可以将目录或文件的权限赋予其他用户。