| Tyzohブログ - satoさんのエントリ |
satoさんのエントリ配信 |
2006/11/21
 |
やっぱりグループは階層...
執筆者: sato (8:14 pm)
|
現行の tPod は ・ファイルのオーナーか否か、 ・ファイルと同じグループの利用者に対するアクセス権限 ・ファイルと異なるグループの利用者に対するアクセス権限 という3つのパターンでアクセスコントロールを行っています。 が、1人(ユーザアカウント)が属することの出来るグループは3つまでとなっています。 初めはこれで十分だったのですが、利用者増や利用が増えると複数グループに所属する人も増えてきました。 ただユーザごとにグループをいくつも追加していくというのも管理や利用が面倒になりますし、複数グループに所属する人というのは実はそのグループの管理者側だったりすることが多いので、グループに階層(というかグルーピング?)を持たせることで対応しようと考えています。 A の子供に B, C のグループが登録されると A のグループに属する人は B, C のグループに属するのと同じ権限を持つ という感じです。これで階層もしくはグルーピングができるはずです。 グループの管理は面倒ですが、ユーザ側で複数個のグループを羅列するというのは避けられるかと思います。 って書くと、ほぼ当たり前の事なわけですが、なんで今までやっていなかったのかという(って実は AC って後付だったので単なる羅列でも済むかと思っていたわけなのですけど)。 キーワードもグルーピングしたいという話がありますが、こんな形になってしまうのでしょうかね...ファイルは階層構造管理をやめましょうといっているのに。うーむ... |
Trackback is not accepted now.
投稿された内容の著作権はコメントの投稿者に帰属します。
| 投稿者 | スレッド |
|---|---|
| ikarashi | 投稿日時: 2006-11-21 22:05 更新日時: 2006-11-22 17:02 |
熟練者   登録日: 2004-12-30 居住地: さいたま市 投稿数: 792 |
 Re: やっぱりグループは階層...このセキュリティ・モデルで機密性が確かに保たれることを検証しなければなりませんね.(秘匿性モデルですよね?!)
一点気になったのですが... 「A の子供に B, C のグループが登録されると A のグループに属する人は B, C のグループに属するのと同じ権限を持つ」 は正しいのでしょうか? 感覚的には「A の子供に B,C のグループが登録されると,B か C のグループに属する場合,A に属するのと同じ権限をもつ」という感じがします.これは,グループ=組織階層と考えた場合です. 一方,組織長というものの考え方からすると,A のグループの組織長が B や C のグループに属する対象物を見れるのは妥当な気がします.しかし,組織長以外の A グループメンバーが B や C の対象物を見ることが良いのかどうかはわかりません. したがって,グループの階層構造だけではあらわせません. グループ階層の考え方について口頭ではお伝えしましたが,ここにレベル(「高中低」でも「極秘,秘,公開」でも...)などの考え方を導入しないとセキュリティが保てないように思います. あるいは,対象物となるファイルのグループの階層構造と,主体となるユーザの階層構造とでグループのマッピング方法を変えるなど,工夫をこらすことが必要だと思います. |
|
|
|
|
| 投稿者 | スレッド |
|---|---|
| sugino | 投稿日時: 2006-11-22 19:24 更新日時: 2006-11-22 19:24 |
常連   登録日: 2005-2-9 居住地: 東京 投稿数: 45 |
Re: やっぱりグループは階層... 昔、とあるセキュリティに詳しい人から「WindowsのNTFSの権限管理機構はとてもよく考えられている」と聞いたことがあります。
確かに、NTFSの権限管理の仕組みでいままで困ったことはありません。 NTFSに、乗っかってしまうのが楽かもしれません。 ただし、Windows を使っての User Authentication や Windows との User Credentialのやり取りが悩ましいです。 Javaからの実装例をGoogleで検索してみたのですが、見つけられませんでした。(少なくともSambaの実装に答えがあるはずです。) 全部、Windows にして ASP.NET で実装すれば、そんなこと考える必要も無いのですが、、、。うむむむ、なんかいつものパターンです。 |
|
|
Rinza
開発日記