Reglas de control de acceso

Introducción

Las reglas de control de acceso se pueden usar para proporcionar un control detallado sobre qué usuarios pueden acceder a computadoras específicas en circunstancias específicas. En lo siguiente, el término regla se usa como sinónimo de regla de control de acceso.

Cuando un usuario intenta acceder a una computadora, las reglas de control de acceso definidas se procesan una tras otra hasta que se aplican todas las condiciones de una regla. Tan pronto como se apliquen todas las condiciones activadas de una regla, no se procesarán más reglas y se ejecutará la acción almacenada (excepción: la regla está deshabilitada).

Las reglas se pueden configurar a través de Veyon Configurator en la página de configuración Control de acceso en la sección Reglas de control de acceso. La lista de reglas está vacía por defecto. En este caso, todos los intentos de acceso se deniegan, ya que no hay ninguna regla que permita el acceso explícitamente. Esto significa que se debe definir al menos una regla que permita el acceso bajo ciertas condiciones.

Añadir y modificar reglas

Al hacer clic en el botón + se abre un cuadro de diálogo que permite la creación de una nueva regla. Las reglas existentes se pueden abrir o editar haciendo doble clic en ellas o haciendo clic en el botón con el símbolo del lápiz.

Una regla consiste básicamente en configuraciones generales, condiciones y una acción que se ejecuta cuando se aplican todas las condiciones. El diálogo se divide en tres secciones. A continuación se explican los significados de las opciones individuales en las distintas secciones del diálogo.

General

El nombre de la regla se debe definir primero en el campo de entrada Nombre de la regla. El nombre se usa más adelante para identificar la regla y se muestra en la lista de reglas. Para fines de documentación, se puede agregar una descripción opcional al campo de entrada Descripción de la regla.

La opción Procesar siempre la regla e ignorar las condiciones hace que las condiciones establecidas a continuación no sean examinadas en el procesamiento de la regla y la acción establecida siempre se ejecute. Esto es particularmente útil para las reglas alternativas en la parte inferior de la lista de reglas, donde puede especificar que se solicite permiso al usuario que ha iniciado sesión si no se aplican otras reglas.

Puede usar la opción Invertir todas las condiciones para determinar que todas las condiciones activadas se inviertan antes de la evaluación, lo que significa que las condiciones activadas no deben aplicarse. Por ejemplo, si la condición Ningún usuario conectado está activado, la regla solo se aplica si uno o más usuarios han iniciado sesión. Si una condición se configura de tal manera que un usuario debe ser miembro de un grupo específico, la regla solo se aplica, si dicho usuario no es miembro del grupo.

Condiciones

Para que una regla sea procesada, se deben aplicar una o más condiciones.

El usuario es miembro del grupo
Con esta condición, puede definir que el usuario con acceso o que ha iniciado sesión localmente debe ser miembro de un grupo específico. El grupo deseado puede ser elegido. Si no se puede seleccionar ninguno o solo grupos incorrectos, es posible que deba ajustar el Backend de grupos de usuario en la configuración general para Control de acceso al equipo.
La computadora está ubicada en
Con esta condición, puede definir que el acceso o la computadora local debe ubicarse en una ubicación específica. Se puede elegir la ubicación deseada. Si no se puede seleccionar ninguna o solo ubicaciones incorrectas, debe ajustarse el Directorio de objetos de red.
El acceso al equipo y el equipo local están en la misma ubicación
Con esta condición, puede determinar que la computadora de acceso y la computadora local tienen que estar ubicadas en la misma ubicación. Esto puede usarse, por ejemplo, para evitar que los profesores accedan a computadoras en diferentes aulas.
El computador de acceso es localhost
Si esta condición está habilitada, la regla solo se aplica si la computadora de acceso es la computadora local. Esto garantiza, por ejemplo, que los profesores puedan acceder a Veyon Service local. Este acceso es necesario para que Veyon Master ejecute funciones específicas a través de Veyon Service (p. ej. el servidor para el modo de demostración).
El acceso al usuario tiene uno o más grupos en común con el usuario local (conectado)
Puede utilizar esta condición para especificar que el acceso y el usuario local tienen que ser miembros de al menos un grupo común, por ejemplo, un grupo de usuarios para una clase o un seminario.
El usuario de acceso ha iniciado sesión
Como alternativa a la condición el acceso a la computadora es localhost también puede permitir que un usuario acceda a sus propias sesiones. Esta condición debe ser activada para este propósito.
El usuario de acceso ya está conectado
Junto con la condición El acceso a la computadora y la computadora local están en la misma ubicación se puede crear un conjunto de reglas extendido que permita el acceso a la computadora en otras ubicaciones bajo ciertas condiciones. Esto incluye la posibilidad de acceder a una computadora si el usuario que está accediendo ya está conectado. Por ejemplo, si el profesor inicia sesión en la computadora de un profesor en el aula A y B simultáneamente y muestra las computadoras de el aula B que se muestran en Veyon Master, las computadoras en el aula B tienen una conexión del profesor. Luego, el profesor también puede acceder al aula B desde Veyon Master en el aula A si esta condición se activa con una acción de permiso.
Ningún usuario ha iniciado sesión
Esta condición determina cómo se puede acceder a una computadora cuando ningún usuario ha iniciado sesión. Para facilitar la administración de la computadora, puede ser útil poder acceder siempre a una computadora cuando ningún usuario ha iniciado sesión.

Acción

Si se aplican todas las condiciones habilitadas de una regla, se realiza una acción específica con respecto al acceso a la computadora. Puedes definir esta acción en la sección Acción:

Permitir el acceso
Se permite el acceso a una computadora y no se procesan otras reglas. Si hay una regla en la lista de reglas a continuación que denegaría el acceso, el acceso todavía está permitido. Debe haber al menos una regla con esta acción.
Denegar el acceso
Se deniega el acceso a una computadora y no se procesan otras reglas. Si hay una regla en la lista de reglas a continuación que permitiría el acceso, el acceso aún se deniega.
Solicitar permiso al usuario conectado
Esta acción muestra un cuadro de diálogo en la computadora que permite al usuario que ha iniciado sesión elegir si desea permitir o denegar el acceso. No se procesan más reglas independientemente de la decisión del usuario.
Ninguno (regla deshabilitada)
Esta acción hace que la regla sea ignorada. El control de acceso continuará procesando la siguiente regla. Esta opción se puede usar para crear una entrada ficticia inactiva para subdividir visualmente la lista de reglas.

Al hacer clic en el botón OK, se aceptan la regla y los cambios realizados y se cierra el cuadro de diálogo.

Reglas de clasificación

Importante

Las reglas de control de acceso definidas se procesan una tras otra en el orden de la lista. La acción de la primera regla coincidente se ejecuta, incluso si las reglas subsiguientes también se aplicarían y conducirían a una acción diferente.

Todas las reglas se pueden reordenar a través de los botones con los símbolos de flecha. Las reglas que deben impedir o permitir el acceso de manera fundamental según ciertos criterios deben colocarse lo más alto posible. Las reglas para cubrir casos especiales se pueden seguir a continuación. Las reglas para la implementación del comportamiento alternativo deben estar en la parte inferior.

Concatenación lógica de reglas

Si se activa más de una condición en una regla, cada condición debe aplicarse para que se aplique la regla (AND lógico). Si solo debe aplicarse una de varias reglas (OR lógico), se deben definir varias reglas de control de acceso.

Con el conocimiento básico de álgebra booleana, la opción Invertir todas las condiciones se puede utilizar como operador de negación junto con acciones invertidas para modelar escenarios extendidos. Por ejemplo, si un usuario debe ser miembro de dos grupos específicos para permitir el acceso a una computadora, se pueden crear dos reglas separadas que denieguen el acceso, si el usuario no es miembro de ninguno de los grupos.

Nota

Si no hay una regla de control de acceso coincidente, de modo que se apliquen todas las condiciones activadas, se deniega el acceso y se cierra la conexión. Esto evita que un atacante pueda acceder accidentalmente debido a un conjunto de reglas incompleto.

Probando un conjunto de reglas

En la sección Control de acceso al equipo, se puede verificar el conjunto de reglas configurado en varios escenarios con el botón Probar. En el cuadro de diálogo de prueba puede ingresar los parámetros para simular un escenario. Con el botón OK las reglas se procesan con los parámetros dados y se muestra un mensaje con el resultado de la prueba.