完全なACLを継承するのか、それともアクセス制御エントリ(ACE)のみを継承するのか疑問に思います。
子がACL全体を置き換える場合は簡単ですが、追加のACEのみを追加する必要がある場合は制限されます。
ACEを継承できる場合は、負の権限が必要になると思います。そうしないと、ルートACLから始まるすべての権限が蓄積されるためです。右?
ACEの継承と負の権利は、柔軟性を大幅に向上させますが、セキュリティの制限を理解するのが難しくなる可能性もあります。ネガティブな権利を避けたいのですが、一方で、システムが存在しないために(ACLを不必要に複製することにより)、システムの保守が困難になる可能性があります。
じゃあ何をすればいいの?完全なACLのみを継承しますか、それともACEを継承しますか?否定的な権限を追加するかどうか?
暫定的な解決策:誰も考えがなかったので、アクセス制御エントリベースで継承を使用することにしました。これを行うために負の権限は必要ありませんが、柔軟性を高めるためにそれらを実装します。