ファイル、ディレクトリ、ファイルシステムに関するアクセスポリシーで説明するように、必須アクセス制御の条件を満たした場合、次に示すテストのいずれかが真の場合に、ファイルまたはディレクトリの読み取り、書き込み、実行または検索のアクセス権がプロセスに対し与えられます。
ファイルまたはディレクトリに関する ACL が存在する場合は、次に示す条件が順番にテストされ、いずれかの条件が真であれば、希望するアクセスが許可される。いずれの条件も真でなければ、アクセスは拒否される
プロセスの実効 UID が、ファイルまたはディレクトリの所有者の UID と同じで、かつ ACL が希望するアクセスタイプを所有者に認めている
プロセスの実効 UID が ACL のユーザーリストに明示的に記載され、かつ指定のユーザーに割り当てられている ACL と ACL マスクの両方で、希望するアクセスが指定のユーザーに認められている
プロセス所有者の実効 GID または補足 GID がファイルまたはディレクトリの GID と同じであり、かつ所有者のグループに割り当てられている ACL 上のエントリおよび ACL マスクの両方で、希望するアクセスが所有者のグループに認められている
プロセス所有者の実効 GID または補足 GID が ACL グループリストに指定されており、かつ指定のグループに割り当てられている ACL 上のエントリおよび ACL マスクの両方で、希望するアクセスが指定のグループに認められている
ACL 上の「他の」項目で、希望するアクセスがプロセス所有者に認められている
アクセス対象のファイルまたはディレクトリに関する ACL が存在しない場合は、次に示す条件が順番にテストされ、いずれかの条件が真であれば、希望するアクセスが許可される。いずれの条件も真でなければ、アクセスは拒否される
プロセスの実効 UID が、ファイルまたはディレクトリの所有者の UID と同じであり、かつ所有者によるファイルへのアクセス権を示す部分 (0700) が、希望するアクセスを許可する設定になっている
実効 GID がファイルまたはディレクトリの GID と同じで、かつグループによるファイルへのアクセス権を示す部分 (0070) が、希望するアクセスタイプを許可する設定になっている。プロセスの補足グループリスト上に記載されているグループの 1 つがファイルまたはディレクトリの GID と同じで、かつグループによるファイルへのアクセス権を示す部分 (0070) が、希望するアクセスを許可する設定になっている
ファイルのアクセス権ビットの他の部分 (0007) が、希望するアクセスを他のすべてのユーザーまたはグループに許可する設定になっている
上記以外の場合、アクセスは拒否されます。ただし、プロセスが適切な 1 つ以上の DAC 無効化特権を表明している場合は別です。この特権については、「ファイル、ディレクトリ、ファイルシステムへのアクセスに関するポリシー」と「実行プロファイル機構」を参照してください。