CELE:
Zasadniczym celem systemu ACL-i jest zapewnienie silnego, elastycznego
i rozszerzalnego mechanizmu kontroli dostępu do różnych obiektów
w konfiguracji DHCPd. Obiektami tymi są sieci współdzielone, podsieci,
grupy hostów i hosty.
System ACL-i pozwala również na kontrolowanie kilku innych właściwości,
takich jak: unikalność nazw obiektów, możliwość zastosowania zmienionej
konfiguracji, przeglądanie i kasowanie dzierżaw DHCP.
ZASADY:
Plik konfiguracyjny DHCPd posiada strukturę drzewiastą. Każdy węzeł tego
drzewa reprezentuje sobą konfigurację pojedyńczego obiektu DHCP (rys. 0).
System ACL-i posiada dwa poziomy zabezpieczeń:
- poziom ogólny: odczyt, zapis, tworzenie;
- dla poszczególnych obiektów: odczyt, zapis.
Uprawnienia ogólne są określone dla każdego typu obiektów (hostów, grup,
podsieci, sieci współdzielonych) i dotyczą operacji na wszystkich
obiektach danego typu:
- ogólne uprawnienia do tworzenia,
- ogólne uprawnienia do odczytu,
- ogólne uprawnienia do zapisu.
Uprawnienia dla poszczególnych obiektów umożliwiają kontrolę dostępu
w bardziej elastyczny sposób. ACL-e uprawnień dla poszczególnych
obiektów istnieją dla każdego pojedyńczego obiektu. Obecnie ACL-e dla
poszczególnych obiektów zaimplementowane są jedynie dla hostów
i podsieci:
- uprawnienia do zapisu dla poszczególnych obiektów,
- uprawnienia do odczytu dla poszczególnych obiektów.
System ACL-i może działać przy czterech różnych poziomach (trybach) zabezpieczeń.
