Die Zugriffskontrollliste (ZKL, engl. access control list), auch Zugangskontrollliste, wird von Betriebssystemen und Anwendungen verwendet, um zu kontrollieren, welcher Benutzer zu welchen Diensten (Dateien, Netzwerkdiensten) Zugang hat. Zugriffskontrolllisten sind meist feiner einstellbar als reguläre Zugriffsrechte.

Unix/Linux

In der Unixwelt versteht man unter Zugriffskontrolllisten eine Erweiterung der „normalen“ Zugriffssteuerung auf Ebene des Benutzer-Gruppe-Welt-Modells. Bei Access Control Lists lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten.

Als erstes Unix unterstützte HP-UX dieses Modell der erweiterten Zugriffssteuerung. Mittlerweile bieten auch Linux, OpenBSD (systrace), FreeBSD (TrustedBSD) und Solaris (TrustedSolaris) native Unterstützung für Zugriffskontrolllisten.

Unter Linux unterstützen dabei die Dateisysteme ext2, ext3, JFS, XFS und ReiserFS Zugriffskontrolllisten vollständig. Mit der KDE-Version 3.5 steht auch der Dateimanager Konqueror mit nativer Unterstützung von Zugriffskontrolllisten zur Verfügung. Für den GNOME-Desktop existiert das Projekt Eiciel, das den Dateimanager Nautilus um komfortable Unterstützung von Zugriffskontrolllisten erweitert. Zugriffskontrolllisten werden in Linux statisch vererbt, d.h. die Berechtigungen pflanzen sich in neu angelegte Unterverzeichnisse und Dateien je nach Bedarf fort. Wird die Zugriffskontrollliste eines Übergeordneten Verzeichnisses geändert, hat dies keinen Einfluss auf die darunterliegende Struktur.

Microsoft Windows

Unter Microsoft Windows (NT, 2000, XP, 2003 Server) wird jedem Betriebssystemobjekt (Dateien, Prozesse etc.) ein Security Descriptor zugeordnet, der eine Zugriffskontrollliste enthalten kann. Ist keine Zugriffskontrollliste vorhanden, so erhält jeder Benutzer Vollzugriff auf das Objekt. Ist die Zugriffskontrollliste vorhanden, aber leer, so erhält kein Benutzer Zugriff. Eine Zugriffskontrollliste besteht aus einem Header und maximal 1.820 Access Control Entries (ACE) Maximum Number of ACEs in an ACL in der Microsoft Knowledge Database, 20. September 2003. Ein Zugriffskontrollliste enthält jeweils die Information, ob einem Benutzer oder einer Benutzergruppe eine bestimmte Zugriffsart erlaubt (allow) oder verweigert (deny) werden soll. Der Windows-Explorer schreibt die Einträge, die Zugriff verweigern, an den Anfang der Zugriffskontrollliste. Fordert nun ein Benutzer Zugriff auf ein Objekt an, so geht der Windows Object Manager die Liste von Anfang an durch. Sobald Einträge für alle angeforderten Rechte gefunden wurden, erlaubt oder verweigert der Object Manager entsprechend den Zugriff. Trifft der Object Manager beim Durchgehen der Liste auf einen Eintrag, der den Zugriff verweigert, wird die Suche abgebrochen und der Zugriff auf das Objekt verweigert.

Bei Windows NT werden Zugriffskontrolllisten statisch vererbt, ab Windows 2000 geschieht dies dynamisch. Wird die Zugriffskontrollliste eines übergeordnenten Verzeichnisses geändert, so hat dies Auswirkungen auf die darunterliegende Verzeichnisstruktur.

Andere

Ab dem Release Tiger (10.4) unterstützt auch Mac OS X Zugriffskontrolllisten. Durch Patches lassen sich viele Plattformen mit Access Control List-Funktionalität ausstatten.

Bei Ciscos Betriebssystem IOS bezeichnen Zugriffskontrolllisten Paketfiltereinstellungen.

Prinzip

So ist es mit vielen Systemen der Zugriffskontrolllisten möglich, einem Prozess, beispielsweise dem FTP-Server-Prozess, exakt die Rechte zu geben, die er zur Erledigung seiner Aufgaben braucht, aber nicht mehr. So darf er etwa seine Konfigurationsdatei lesen, Programmbibliotheken laden etc. Der Prozess darf aber keine Shell starten oder bestimmte Systemaufrufe ausführen, wie es unter Unix oft der Fall ist.

Quelle