Access Control List (ACL) je mechanismus řízení přístupu, který určuje kdo (uživatel nebo skupina) může co (jakou akci) provádět nad jakým zdrojem (soubor, stránka, adresář, služba).

ACL se používá v:

operačních systémech (Linux, Windows)

souborových systémech

síťových prvcích (routery, firewally)

webových aplikacích

wiki systémech (např. DokuWiki)

databázích

cloudových službách

Základní princip je vždy stejný:

Subjekt → Akce → Objekt

Subjekt je entita, které jsou přidělována oprávnění.

Může to být:

konkrétní uživatel

skupina uživatelů

anonymní uživatel

systémový účet

Objekt je zdroj, ke kterému se přistupuje.

Příklady:

soubor

adresář

wiki stránka

jmenný prostor (namespace)

databázová tabulka

API endpoint

Akce určuje, co může subjekt s objektem dělat.

Typické akce:

čtení

zápis

mazání

vytváření

administrace

vlastník objektu určuje přístupová práva

běžné v Unix/Linux systémech

flexibilní, ale méně bezpečné

centrálně řízená bezpečnostní politika

uživatel nemůže měnit oprávnění

příklady: SELinux, AppArmor

oprávnění se přidělují rolím

uživatel získává oprávnění podle role

přehledné a škálovatelné

ke každému objektu existuje seznam pravidel

velmi jemné řízení přístupu

složitější správa

DokuWiki používá hierarchický ACL systém, kde:

oprávnění se dědí

konkrétnější pravidla mají přednost

pravidla se aplikují shora dolů

ACL lze nastavit:

přes administrátorské rozhraní

ručně v souboru conf/acl.auth.php