Il controllo di accesso obbligatorio (MAC) è un meccanismo di sicurezza utilizzato nei sistemi e nelle reti di computer per applicare criteri di accesso rigorosi e definiti centralmente alle risorse del computer. È progettato per limitare e controllare le azioni che i soggetti (utenti, processi o entità ) possono eseguire sugli oggetti (file, directory, dispositivi, ecc.) in base a regole predeterminate impostate dall'amministratore di sistema o policy di sicurezza.
Quando un soggetto tenta di accedere a un oggetto, il sistema MAC controlla le etichette di sicurezza sia del soggetto che dell'oggetto e le confronta con la politica di accesso. L'accesso è concesso solo se il livello di sicurezza del soggetto soddisfa o supera il livello di sicurezza dell'oggetto secondo la policy di accesso.
MAC opera secondo il principio dei concetti di "necessità di sapere" e "privilegio minimo", in cui i diritti di accesso sono concessi solo se esplicitamente autorizzati e sono limitati al minimo necessario affinché il soggetto possa adempiere alla propria funzione.
