Règles du contrôle d’accès
Introduction
Les règles de contrôle d’accès peuvent être utilisées pour fournir un contrôle plus précis sur les utilisateurs pouvant accéder à des ordinateurs spécifiques dans des circonstances particulières. Dans ce qui suit, le terme règle est utilisé comme synonyme de règle de contrôle d’accès.
Lorsqu’un utilisateur tente d’accéder à un ordinateur, les règles de contrôle d’accès définies sont traitées les unes après les autres jusqu’à ce que toutes les conditions d’une règle soient appliquées. Dès que toutes les conditions activées d’une règle s’appliquent, aucune autre règle n’est traitée par la suite et l’action stockée est exécutée (exception: la règle est désactivée).
Les règles peuvent être configurées via le configurateur Veyon sur la page de configuration Contrôle d’accès dans la section Règles de contrôle d’accès. La liste de règles est vide par défaut. Dans ce cas, toutes les tentatives d’accès sont refusées car aucune règle n’autorise explicitement l’accès. Cela signifie qu’au moins une règle doit être définie pour autoriser l’accès dans certaines conditions.
Ajouter et modifier des règles
En cliquant sur le bouton + une boîte de dialogue s’ouvre et permet la création d’une nouvelle règle. Les règles existantes peuvent être ouvertes ou modifiées en double-cliquant dessus ou en cliquant sur le bouton avec le symbole du stylo.
Une règle consiste essentiellement en des paramètres généraux, des conditions et une action exécutée lorsque toutes les conditions s’appliquent. Le dialogue est divisé en trois sections. La signification des options individuelles dans les différentes sections de la boîte de dialogue est expliquée ci-dessous.
Général
En premier lieu, un nom pour la règle doit être défini dans le champ de saisie Nom de la règle. Le nom est utilisé par la suite pour identifier la règle et est affiché dans la liste des règles. À des fins de documentation, une description facultative peut être ajoutée au champ de saisie Description de la règle.
L’option Toujours traiter les règles et ignorer les conditions fait en sorte que les conditions définies ci-dessous ne soient pas examinées pour le traitement des règles et que l’action définie soit toujours exécutée. C’est particulièrement utile pour les règles de secours au bas de la liste des règles, où vous pouvez spécifier que l’utilisateur connecté doit demander une autorisation si aucune autre règle ne s’applique.
Vous pouvez utiliser l’option Inverser toutes les conditions pour définir que toutes les conditions activées soient inversées avant l’évaluation, ce qui signifie que les conditions activées ne doivent pas s’appliquer. Par exemple, si la condition Aucun utilisateur connecté est activée, la règle ne s’applique que si un ou plusieurs utilisateurs sont connectés. Si une condition est configurée de telle sorte qu’un utilisateur doit être membre d’un groupe spécifique, la règle ne s’applique que si l’utilisateur spécifié n’est pas un membre du groupe.
Conditions
Pour qu’une règle soit traitée, une ou plusieurs conditions doivent s’appliquer.
- L’utilisateur est membre d’un groupe
Avec cette condition, vous pouvez définir que l’utilisateur accédant ou connecté en local doit être membre d’un groupe spécifique. On peut choisir le groupe souhaité. Si aucun ou seulement des groupes non conformes sont sélectionnables, il se peut que vous deviez ajuster le processus d’arrière plan de groupes d’utilisateurs sous les paramètres généraux de Contrôle d’accès ordinateur.
- Ordinateur situé à
Avec cette condition, vous pouvez définir que l’ordinateur d’accès ou local doit être situé dans un emplacement spécifique. L’emplacement souhaité peut être choisi. Si aucun ou seulement des emplacements non conformes sont sélectionnables, le Répertoire objets réseau doit être ajusté.
- L’accès à l’ordinateur et l’ordinateur local se trouvent au même endroit
Avec cette condition, vous pouvez déterminer que l’ordinateur en accès et l’ordinateur local doivent être situés au même emplacement. Cela peut par exemple être utilisé pour empêcher des enseignants d’accéder aux ordinateurs d’autres classes.
- L’ordinateur accédant est l’hôte local
Si cette condition est activée, la règle ne s’applique que si l’ordinateur qui accède est l’ordinateur local. Cela garantit par exemple que les enseignants peuvent accéder au service Veyon local. Cet accès est nécessaire pour que le Veyon Maître puisse exécuter des fonctions spécifiques via le service Veyon (par exemple, le serveur pour le mode démo).
- L’utilisateur accédant est membre d’un ou plusieurs groupes en commun avec l’utilisateur local (connecté)
Vous pouvez utiliser cette condition pour spécifier que l’utilisateur en accès et l’utilisateur local doivent appartenir à au moins un groupe commun, par exemple un groupe d’utilisateurs pour une classe ou un séminaire.
- L’utilisateur accédant est identifié en utilisateur
En tant qu’alternative à la condition l’ordinateur accédant est l’hôte local (localhost), vous pouvez également autoriser un utilisateur à accéder à ses propres sessions. Cette condition doit être activée à cet effet.
- L’utilisateur accédant est déjà connecté
En conjonction avec la condition L’accès à l’ordinateur local et l’ordinateur local se trouvent au même emplacement un ensemble de règles étendues peuvent être créés pour permettre l’accès à un ordinateur situé à un autre endroit dans certaines conditions. Cela inclut la possibilité d’accéder à un ordinateur si l’utilisateur accédant est déjà connecté. Par exemple, si l’enseignant se connecte à un ordinateur maître simultanément dans les salles A et B et affiche les ordinateurs de la salle B affichés dans Veyon Maître, les ordinateurs de la salle B seront connectés au professeur. Ensuite, l’enseignant peut également accéder à la salle B depuis Veyon Maître dans la salle A si cette condition est activée avec une action le permettant.
- Aucun utilisateur connecté
Cette condition détermine le mode d’accès à un ordinateur lorsque aucun utilisateur n’est connecté. Pour faciliter l’administration de l’ordinateur, il peut être utile de toujours pouvoir accéder à un ordinateur lorsqu’aucun utilisateur n’est connecté.
Action
Si toutes les conditions actives d’une règle s’appliquent, une action spécifique est exécutée en accord avec les conditions d’accès à l’ordinateur. Vous pouvez définir cette action dans la section Action:
- Autoriser l’accès
L’accès à un ordinateur est autorisé et les autres règles ne sont pas traitées. S’il existe une règle dans la liste des règles ci-dessous qui refuserait l’accès, l’accès est toujours autorisé. Il doit y avoir au moins une règle avec cette action.
- Refuser l’accès
L’accès à un ordinateur est refusé et les autres règles ne sont pas traitées. S’il existe dans la liste des règles ci-dessous une règle autorisant l’accès, l’accès est toujours refusé.
- Demander la permission à l’utilisateur connecté
Cette action affiche une boîte de dialogue sur l’ordinateur permettant à l’utilisateur connecté de choisir d’autoriser ou de refuser l’accès. Aucune autre règle n’est traitée, quelle que soit la décision de l’utilisateur.
- Aucune (Règle désactivée)
Cette action fait en sorte que la règle soit ignorée. Le contrôle d’accès se poursuivra en examinant la prochaine règle. Cette option peut être utilisée pour créer une entrée fictive désactivée. Les entrées fictives peuvent servir à diviser visuellement la liste des règles.
En cliquant sur le bouton OK la règle et les modifications apportées sont acceptées et la boîte de dialogue est fermée.
Règles de tri
Important
Les règles de contrôle d’accès définies sont traitées les unes après les autres dans l’ordre de la liste. L’action de la première règle concordante est exécutée, même si des règles ultérieures seraient également applicables et entraîneraient une action différente.
Toutes les règles peuvent être réorganisées via les boutons avec les flèches. Les règles qui devraient fondamentalement empêcher ou autoriser l’accès sur la base de certains critères doivent être placées aussi haut que possible. Les règles pour couvrir les cas particuliers peuvent suivre ci-dessous. Les règles pour la mise en œuvre d’un comportement de secours doivent être en bas.
Concaténation logique des règles
Si plus d’une condition est activée dans une règle, chaque condition doit s’appliquer pour que la règle soit appliquée (ET logique). Si une seule règle sur plusieurs doit s’appliquer (OU logique), plusieurs règles de contrôle d’accès doivent être définies.
Avec des connaissances de base en algèbre booléenne, l’option Inverser toutes les conditions peut être utilisée comme opérateur de négation conjointement avec des actions inversées pour modéliser des scénarios étendus. Par exemple, si un utilisateur doit être membre de deux groupes spécifiques pour autoriser l’accès à un ordinateur, vous pouvez créer deux règles distinctes qui interdisent l’accès, si l’utilisateur n’est pas membre de l’un ou l’autre groupe.
Note
S’il n’y a pas de règle de contrôle d’accès correspondante, de sorte que toutes les conditions activées s’appliquent, l’accès est refusé et la connexion est fermée. Cela empêche l’accès malveillant accidentellement à un attaquant en raison d’un ensemble de règles incomplet.
Tester un ensemble de règles
Dans la section Contrôle d’accès aux ordinateurs, le jeu de règles configuré peut être vérifié à l’aide de divers scénarios à l’aide du bouton Test. Dans la boîte de dialogue de test, vous pouvez entrer les paramètres permettant de simuler un scénario. Avec le bouton OK, les règles sont traitées avec les paramètres donnés et un message avec le résultat du test est affiché.