Hozzáférési szabályok

Bevezetés

Hozzáférési szabályokat lehet használni részletes irányítás biztosítására, hogy mely felhasználók férjenek hozzá konkrét számítógépekhez konkrét körülmények között. A következőben a szabály kifejezést használjuk hozzáférési szabály szinonimájaként.

Amikor egy felhasználó megpróbál hozzáférni egy számítógéphez, a meghatározott hozzáférési szabályok egymás után feldolgozódnak, amíg az összes szabály feltétele teljesül. Amint az összes aktivált szabály feltétele teljesül, további szabályok nem kerülnek feldolgozásra, és végrehajtásra kerül a tárolt művelet (kivétel: a szabály letiltva van).

A szabályok konfigurálhatók a Veyon Konfigurátor segítségével a konfigurációs oldalon:ref:ConfAccessControl a Hozzáférési szabályok szakaszban. Az alapértelmezés szerint a szabálylista üres. Ebben az esetben minden hozzáférési kísérletet elutasítanak, mivel nincs olyan szabály, amely kifejezetten engedélyezi a hozzáférést. Ez azt jelenti, hogy legalább egy szabályt meg kell határozni, amely bizonyos feltételek mellett engedélyezi a hozzáférést.

Szabályok hozzáadása és módosítása

A gombra kattintva + egy párbeszédablak nyílik meg, amely lehetővé teszi egy új szabály létrehozását. A meglévő szabályok megnyithatók vagy szerkeszthetők dupla kattintással vagy a toll szimbólummal ellátott gombra kattintva.

Egy szabály alapvetően általános beállításokból, feltételekből és egy olyan műveletből áll, amely akkor hajtódik végre, amikor minden feltétel teljesül. A párbeszéd három részre van osztva. Az egyes lehetőségek jelentése a különböző párbeszédrészekben alább magyarázva van.

Általános

Egy névnek meg kell lennie meghatározva a szabály nevének beviteli mezőjében: guilabel: Szabály neve. A nevet később használják a szabály azonosítására, és megjelenik a szabályok listájában. Dokumentációs célokra opcionális leírás adható hozzá a guilabel: Szabály leírása beviteli mezőhöz.

A Mindig feldolgozza a szabályt és figyelmen kívül hagyja a feltételeket opció miatt a lent beállított feltételek nem kerülnek ellenőrzésre a szabály feldolgozásakor, és mindig végrehajtódik a beállított művelet. Ez különösen hasznos a szabálylista alján lévő tartalék szabályok esetén, ahol megadhatja, hogy a bejelentkezett felhasználótól engedélyt kérjen, ha más szabályok nem alkalmazhatók.

A Minden feltétel invertálása opciót használhatja annak meghatározásához, hogy az összes aktivált feltétel invertálódik a kiértékelés előtt, ami azt jelenti, hogy az aktivált feltételek nem alkalmazhatók. Például, ha az Nincs bejelentkezett felhasználó feltétel aktiválódik, a szabály csak akkor alkalmazandó, ha egy vagy több felhasználó be van jelentkezve. Ha egy feltétel úgy van konfigurálva, hogy egy felhasználónak egy adott csoport tagjának kell lennie, a szabály csak akkor alkalmazandó, ha a megadott felhasználó nem tagja a csoportnak.

Feltételek

Egy szabály feldolgozásához egy vagy több feltételnek teljesülnie kell.

A felhasználó egy csoporttag: You can use this condition to specify that either the accessing or the locally logged in user must be a member of a specific group. The desired group can be selected. If no or only wrong groups are selectable, the User groups backend under the general settings for Számítógéphozzáférés-vezérlés may have to be adjusted. Alternatively, a regular expression can be entered to control access from or to certain groups whose names match a certain pattern, e.g. /Class 20\d\d-\d\d/ for the class groups 20NN-NN.
A számítógép elhelyezkedése: With this condition you can define that either the accessing or the local computer has to be located at a specific location. The desired location can be selected. If no or only wrong locations are selectable the Hálózatobjektum-mappa has to be adjusted. Alternatively, a regular expression can be entered to control access from or to multiple locations whose names match a certain pattern.
A hozzáférő számítógép a helyi számítógéppel egy helyszínen van: You can use this condition to specify that the accessing computer and the local computer must be in the same location. This can be used, for example, to prevent teachers from accessing computers outside their own classroom.

A hozzáférő számítógép a helyi számítógép: Ha ez a feltétel engedélyezve van, akkor a szabály csak akkor érvényes, ha a hozzáférő számítógép a helyi számítógép. Ez például biztosítja, hogy a tanárok hozzáférjenek a helyi Veyon szolgáltatáshoz. Ez a hozzáférés szükséges a Veyon Mester számára a Veyon szolgáltatás specifikus funkcióinak végrehajtásához (pl. a demó mód szervere).
A hozzáférő felhasználó egy vagy több csoport közös tagja a helyi (bejelentkezett) felhasználóval: Ezt a feltételt használhatja arra, hogy meghatározza, hogy a hozzáférő és a helyi felhasználó legalább egy közös csoport tagjai legyenek, például egy felhasználói csoport egy osztályhoz vagy szemináriumhoz.
A hozzáférő felhasználó már bejelentkezett: Mint alternatívát a feltétel a számítógéphez való hozzáférés helyi gép helyett lehetőséget adhatunk a felhasználónak a saját munkameneteinek elérésére. Ezt a feltételt aktiválni kell ehhez a célhoz.
A hozzáférő felhasználó már csatlakozott: A Számítógéphez való hozzáférés és a helyi számítógép ugyanazon a helyen található feltétellel összefüggésben kibővített szabálykészlet hozható létre, amely lehetővé teszi a számítógéphez való hozzáférést más helyeken bizonyos feltételek mellett. Ez magában foglalja annak lehetőségét, hogy a számítógéphez való hozzáférés már csatlakozott felhasználó esetén is lehetséges legyen. Például, ha a tanár bejelentkezik az A és B teremben található tanári számítógépre egyszerre, és a B terem számítógépei megjelennek a Veyon Masterben, akkor a tanárnak kapcsolata van a B terem számítógépeivel. Ekkor a tanár a Veyon Master segítségével az A teremben is hozzáférhet a B teremhez, ha ez a feltétel engedélyezve van egy engedélyező művelettel.
Egy felhasználó sem jelentkezett be: Ez a feltétel meghatározza, hogy hogyan lehet hozzáférni egy számítógéphez, amikor nincs bejelentkezett felhasználó. Az egyszerűbb számítógép-kezelés érdekében hasznos lehet mindig hozzáférni a számítógéphez, amikor nincs bejelentkezett felhasználó.
Local computer is already being accessed: If this condition is activated, the rule takes effect if there is already at least one connection to the local Veyon Service. This can be used, for example, to prevent parallel access to a computer.

Művelet

Ha minden szabály engedélyezett feltétele teljesül, akkor egy adott műveletet hajtanak végre a számítógéphez való hozzáférés tekintetében. Ezt a műveletet meghatározhatja a Művelet szakaszban.

Hozzáférés engedélyezése: A számítógéphez való hozzáférés engedélyezett, és további szabályok nem kerülnek feldolgozásra. Ha az alábbi szabályok listájában olyan szabály van, amely megtagadná a hozzáférést, akkor a hozzáférés még mindig engedélyezett. Legalább egy szabálynak rendelkeznie kell ezzel a művelettel.

Hozzáférés tiltása: A számítógéphez való hozzáférés megtagadva, és további szabályok nem kerülnek feldolgozásra. Ha az alábbi szabályok listájában olyan szabály van, amely lehetővé tenné a hozzáférést, akkor is megtagadva marad a hozzáférés.

Bejelentkezett felhasználótól jogosultság kérése: Ez a művelet egy párbeszédablakot jelenít meg a számítógépen, amely lehetővé teszi a bejelentkezett felhasználó számára, hogy eldöntse, engedélyezi vagy megtagadja-e a hozzáférést. A felhasználó döntésétől függetlenül további szabályok nem kerülnek feldolgozásra.
Egyik sem (egyik szabály sincs bekapcsolva): Ezzel a művelettel a szabály figyelmen kívül lesz hagyva. A hozzáférési ellenőrzés a következő szabály feldolgozásával folytatódik. Ezt az opciót használhatjuk egy inaktív dummy bejegyzés létrehozására, hogy vizuálisan feloszthassuk a szabályok listáját.

A OK gombra kattintva elfogadja a szabályt és a végrehajtott változtatásokat, majd bezárul a párbeszédablak.

Rendezési szabályok

Fontos

A meghatározott hozzáférési szabályokat egymás után dolgozzák fel a lista sorrendjében. Az első illeszkedő szabály művelete végrehajtódik, még akkor is, ha a későbbi szabályok is alkalmazhatóak lennének, és más művelethez vezetnének.

Minden szabály átrendezhető a nyilak szimbólumával ellátott gombok segítségével. Azokat a szabályokat, amelyek alapvetően megakadályozzák vagy engedélyezik a hozzáférést bizonyos kritériumok alapján, lehetőleg a lehető legfeljebb kell elhelyezni. Az egyedi eseteket lefedő szabályok alul követhetik. A visszaesési viselkedés megvalósítására vonatkozó szabályokat az alján kell elhelyezni.

Szabályok logikai összefűzése

Ha több feltétel aktiválódik egy szabályban, minden feltételnek teljesülnie kell ahhoz, hogy a szabály alkalmazva legyen (logikai ÉS). Ha csak egyetlen szabálynak kell alkalmazódnia több szabály közül (logikai VAGY), több hozzáférési irányítási szabályt kell meghatározni.

A Boolean algebra alapvető ismeretével a Minden feltétel invertálása lehetőséget használhatjuk a tagadó operátorként az invertált műveletekkel kiterjesztett forgatókönyvek modellezéséhez. Például, ha egy felhasználónak két konkrét csoport tagjának kell lennie ahhoz, hogy hozzáférjen egy számítógéphez, két különálló szabályt hozhatunk létre, amelyek megtagadják a hozzáférést, ha a felhasználó nem tagja egyik csoportnak sem.

Megjegyzés

Ha nincs olyan illeszkedő hozzáférési szabály, hogy minden aktivált feltétel érvényes legyen, a hozzáférés megtagadódik, és a kapcsolat lezárul. Ez megakadályozza, hogy egy támadó véletlenül hozzáférést kapjon egy hiányos szabálykészlet miatt.

Szabályrendszer tesztelése

A szakaszban Számítógép hozzáférési ellenőrzés a konfigurált szabálykészletet különböző forgatókönyvekkel ellenőrizheti a Teszt gomb segítségével. A teszt párbeszédpanelben beírhatja a paramétereket egy forgatókönyv szimulálásához. Az OK gombbal a szabályok a megadott paraméterekkel feldolgozódnak, és egy üzenet jelenik meg a teszt eredményével.