Mandatory access control
Mandatory access control (MAC) – obowiązkowa kontrola dostępu) – pojęcie to zostało zdefiniowane w TCSEC jako sposób kontroli dostępu w systemie komputerowym.
W MAC wyróżnia się podmioty (ang. subject) oraz obiekty (ang. object). Podmiot to użytkownik lub proces. Obiektami mogą być przykładowo: pliki, katalogi, urządzenia, klucze rejestru. Zarówno podmioty, jak i obiekty posiadają określone atrybuty bezpieczeństwa. System posiada również zestaw reguł (ang. rule) określających zasady dostępu, zwany polityką (ang. policy). System operacyjny na podstawie atrybutów bezpieczeństwa i polityki udziela bądź odmawia podmiotowi dostępu do obiektu.
Zarówno atrybuty bezpieczeństwa, jak i polityka, są ustalane wyłącznie przez administratora systemu. W odróżnieniu od DAC, użytkownik nie ma wpływu na działanie mechanizmów kontroli dostępu.
MAC może być stosowany równolegle z DAC.
Popularną implementacją MAC w systemach Linux jest SELinux. Microsoft począwszy od Windowsa Visty i Windowsa Server 2008 stosuje tzw. sposób Mandatory Integrity Control, który jest implementacją MAC. W systemie z/OS z RACF implementacją MAC są tzw. Security Levels i Security Labels.