Политика derive

Осуществляет передачу мандатной ссылки с указанным списком прав доступа.

При этом держатель мандатной ссылки (master) оставляет за собой возможность отозвать переданную мандатную ссылку у получателя (recipient). Держатель мандатной ссылки должен обладать правом Derive.

Список прав доступа передается в аргументах политики.

Тип: call-политика.

Синтаксис

derive <configuration> (in SID master,

in SID recipient,

in SID resource,

in Rights rights)

Параметры

`master`	Держатель, передающий мандатную ссылку.
`recipient`	Получатель мандатной ссылки.
`resource`	SID ресурса, ассоциированный с мандатной ссылкой.
`rights`	Маска прав доступа.

Конфигурация политики

<configuration> ::= "{" <type> "}"

Элементы конфигурации

<resource-type>

Тип ресурса, присвоенный при инициализации мандатной ссылки. Должен совпадать с одним из типов в конфигурации экземпляра семейства.

Возвращаемое значение

KSS_GRANT в следующих случаях:

Мандатная ссылка передана получателю и получатель является держателем мандатной ссылки со всеми указанными правами доступа к ресурсу.
В качестве SID ресурса передано INVALID_HANDLE.

KSS_DENY в следующих случаях:

Хотя бы один из указанных SID некорректен.
SID ресурса не ассоциирован с мандатной ссылкой.
Тип ресурса, указанный в конфигурации (<type>) не совпадает с типом, присвоенным при инициализации мандатной ссылки.
master не является держателем мандатной ссылки на указанный ресурс.
master не обладает всеми указанными правами доступа к ресурсу.
master не обладает правом Derive на ресурс.
master не является владельцем мандатной ссылки.
Для указанного типа ресурса в конфигурации экземпляра семейства ocap отсутствует хотя бы одно из переданных прав доступа.

Все указанные ограничения действуют только в рамках экземпляра семейства ocap.

В начало