Hozzáférési szabályok

Bevezetés

Hozzáférési szabályokat lehet használni részletes irányítás biztosítására, hogy mely felhasználók férjenek hozzá konkrét számítógépekhez konkrét körülmények között. A következőben a szabály kifejezést használjuk hozzáférési szabály szinonimájaként.

Amikor egy felhasználó megpróbál hozzáférni egy számítógéphez, a meghatározott hozzáférési szabályok egymás után feldolgozódnak, amíg az összes szabály feltétele teljesül. Amint az összes aktivált szabály feltétele teljesül, további szabályok nem kerülnek feldolgozásra, és végrehajtásra kerül a tárolt művelet (kivétel: a szabály letiltva van).

A szabályok konfigurálhatók a Veyon Konfigurátor segítségével a konfigurációs oldalon:ref:ConfAccessControl a Hozzáférési szabályok szakaszban. Az alapértelmezés szerint a szabálylista üres. Ebben az esetben minden hozzáférési kísérletet elutasítanak, mivel nincs olyan szabály, amely kifejezetten engedélyezi a hozzáférést. Ez azt jelenti, hogy legalább egy szabályt meg kell határozni, amely bizonyos feltételek mellett engedélyezi a hozzáférést.

Szabályok hozzáadása és módosítása

A gombra kattintva + egy párbeszédablak nyílik meg, amely lehetővé teszi egy új szabály létrehozását. A meglévő szabályok megnyithatók vagy szerkeszthetők dupla kattintással vagy a toll szimbólummal ellátott gombra kattintva.

Egy szabály alapvetően általános beállításokból, feltételekből és egy olyan műveletből áll, amely akkor hajtódik végre, amikor minden feltétel teljesül. A párbeszéd három részre van osztva. Az egyes lehetőségek jelentése a különböző párbeszédrészekben alább magyarázva van.

Általános

Egy névnek meg kell lennie meghatározva a szabály nevének beviteli mezőjében: guilabel: Szabály neve. A nevet később használják a szabály azonosítására, és megjelenik a szabályok listájában. Dokumentációs célokra opcionális leírás adható hozzá a guilabel: Szabály leírása beviteli mezőhöz.

A Mindig feldolgozza a szabályt és figyelmen kívül hagyja a feltételeket opció miatt a lent beállított feltételek nem kerülnek ellenőrzésre a szabály feldolgozásakor, és mindig végrehajtódik a beállított művelet. Ez különösen hasznos a szabálylista alján lévő tartalék szabályok esetén, ahol megadhatja, hogy a bejelentkezett felhasználótól engedélyt kérjen, ha más szabályok nem alkalmazhatók.

A Minden feltétel invertálása opciót használhatja annak meghatározásához, hogy az összes aktivált feltétel invertálódik a kiértékelés előtt, ami azt jelenti, hogy az aktivált feltételek nem alkalmazhatók. Például, ha az Nincs bejelentkezett felhasználó feltétel aktiválódik, a szabály csak akkor alkalmazandó, ha egy vagy több felhasználó be van jelentkezve. Ha egy feltétel úgy van konfigurálva, hogy egy felhasználónak egy adott csoport tagjának kell lennie, a szabály csak akkor alkalmazandó, ha a megadott felhasználó nem tagja a csoportnak.

Feltételek

Egy szabály feldolgozásához egy vagy több feltételnek teljesülnie kell.

A felhasználó egy csoporttag: Ezzel a feltétellel meghatározhatja, hogy vagy a hozzáférő vagy a helyileg bejelentkezett felhasználónak tagjának kell lennie egy adott csoportnak. A kívánt csoport kiválasztható. Ha nincs vagy csak helytelen csoportok választhatók, akkor az általános beállítások alatt a Felhasználói csoportok háttérprogramját a Számítógéphozzáférési_vezérlés-nél lehet módosítani.
A számítógép elhelyezkedése: Ezzel a feltétellel meghatározhatja, hogy vagy a hozzáférő vagy a helyi számítógépnek egy adott helyen kell lennie. A kívánt helyet választhatja ki. Ha nincs vagy csak helytelen helyek választhatók, akkor a Hálózatobjektum-mappa-t kell beállítani.
A hozzáférő számítógép a helyi számítógéppel egy helyszínen van: Ezzel a feltétellel meghatározhatja, hogy az elérő számítógép és a helyi számítógép ugyanazon a helyen kell, hogy legyenek elhelyezve. Ez például használható tanárok számítógéphez való hozzáférésének megakadályozására különböző osztálytermekben.

A hozzáférő számítógép a helyi számítógép: Ha ez a feltétel engedélyezve van, akkor a szabály csak akkor érvényes, ha a hozzáférő számítógép a helyi számítógép. Ez például biztosítja, hogy a tanárok hozzáférjenek a helyi Veyon szolgáltatáshoz. Ez a hozzáférés szükséges a Veyon Mester számára a Veyon szolgáltatás specifikus funkcióinak végrehajtásához (pl. a demó mód szervere).
A hozzáférő felhasználó egy vagy több csoport közös tagja a helyi (bejelentkezett) felhasználóval: Ezt a feltételt használhatja arra, hogy meghatározza, hogy a hozzáférő és a helyi felhasználó legalább egy közös csoport tagjai legyenek, például egy felhasználói csoport egy osztályhoz vagy szemináriumhoz.
A hozzáférő felhasználó már bejelentkezett: Mint alternatívát a feltétel a számítógéphez való hozzáférés helyi gép helyett lehetőséget adhatunk a felhasználónak a saját munkameneteinek elérésére. Ezt a feltételt aktiválni kell ehhez a célhoz.
A hozzáférő felhasználó már csatlakozott: A Számítógéphez való hozzáférés és a helyi számítógép ugyanazon a helyen található feltétellel összefüggésben kibővített szabálykészlet hozható létre, amely lehetővé teszi a számítógéphez való hozzáférést más helyeken bizonyos feltételek mellett. Ez magában foglalja annak lehetőségét, hogy a számítógéphez való hozzáférés már csatlakozott felhasználó esetén is lehetséges legyen. Például, ha a tanár bejelentkezik az A és B teremben található tanári számítógépre egyszerre, és a B terem számítógépei megjelennek a Veyon Masterben, akkor a tanárnak kapcsolata van a B terem számítógépeivel. Ekkor a tanár a Veyon Master segítségével az A teremben is hozzáférhet a B teremhez, ha ez a feltétel engedélyezve van egy engedélyező művelettel.
Egy felhasználó sem jelentkezett be: Ez a feltétel meghatározza, hogy hogyan lehet hozzáférni egy számítógéphez, amikor nincs bejelentkezett felhasználó. Az egyszerűbb számítógép-kezelés érdekében hasznos lehet mindig hozzáférni a számítógéphez, amikor nincs bejelentkezett felhasználó.

Művelet

Ha minden szabály engedélyezett feltétele teljesül, akkor egy adott műveletet hajtanak végre a számítógéphez való hozzáférés tekintetében. Ezt a műveletet meghatározhatja a Művelet szakaszban.

Hozzáférés engedélyezése: A számítógéphez való hozzáférés engedélyezett, és további szabályok nem kerülnek feldolgozásra. Ha az alábbi szabályok listájában olyan szabály van, amely megtagadná a hozzáférést, akkor a hozzáférés még mindig engedélyezett. Legalább egy szabálynak rendelkeznie kell ezzel a művelettel.

Hozzáférés tiltása: A számítógéphez való hozzáférés megtagadva, és további szabályok nem kerülnek feldolgozásra. Ha az alábbi szabályok listájában olyan szabály van, amely lehetővé tenné a hozzáférést, akkor is megtagadva marad a hozzáférés.

Bejelentkezett felhasználótól jogosultság kérése: Ez a művelet egy párbeszédablakot jelenít meg a számítógépen, amely lehetővé teszi a bejelentkezett felhasználó számára, hogy eldöntse, engedélyezi vagy megtagadja-e a hozzáférést. A felhasználó döntésétől függetlenül további szabályok nem kerülnek feldolgozásra.
Egyik sem (egyik szabály sincs bekapcsolva): Ezzel a művelettel a szabály figyelmen kívül lesz hagyva. A hozzáférési ellenőrzés a következő szabály feldolgozásával folytatódik. Ezt az opciót használhatjuk egy inaktív dummy bejegyzés létrehozására, hogy vizuálisan feloszthassuk a szabályok listáját.

A OK gombra kattintva elfogadja a szabályt és a végrehajtott változtatásokat, majd bezárul a párbeszédablak.

Rendezési szabályok

Fontos

A meghatározott hozzáférési szabályokat egymás után dolgozzák fel a lista sorrendjében. Az első illeszkedő szabály művelete végrehajtódik, még akkor is, ha a későbbi szabályok is alkalmazhatóak lennének, és más művelethez vezetnének.

Minden szabály átrendezhető a nyilak szimbólumával ellátott gombok segítségével. Azokat a szabályokat, amelyek alapvetően megakadályozzák vagy engedélyezik a hozzáférést bizonyos kritériumok alapján, lehetőleg a lehető legfeljebb kell elhelyezni. Az egyedi eseteket lefedő szabályok alul követhetik. A visszaesési viselkedés megvalósítására vonatkozó szabályokat az alján kell elhelyezni.

Szabályok logikai összefűzése

Ha több feltétel aktiválódik egy szabályban, minden feltételnek teljesülnie kell ahhoz, hogy a szabály alkalmazva legyen (logikai ÉS). Ha csak egyetlen szabálynak kell alkalmazódnia több szabály közül (logikai VAGY), több hozzáférési irányítási szabályt kell meghatározni.

A Boolean algebra alapvető ismeretével a Minden feltétel invertálása lehetőséget használhatjuk a tagadó operátorként az invertált műveletekkel kiterjesztett forgatókönyvek modellezéséhez. Például, ha egy felhasználónak két konkrét csoport tagjának kell lennie ahhoz, hogy hozzáférjen egy számítógéphez, két különálló szabályt hozhatunk létre, amelyek megtagadják a hozzáférést, ha a felhasználó nem tagja egyik csoportnak sem.

Megjegyzés

Ha nincs olyan illeszkedő hozzáférési szabály, hogy minden aktivált feltétel érvényes legyen, a hozzáférés megtagadódik, és a kapcsolat lezárul. Ez megakadályozza, hogy egy támadó véletlenül hozzáférést kapjon egy hiányos szabálykészlet miatt.

Szabályrendszer tesztelése

A szakaszban Számítógép hozzáférési ellenőrzés a konfigurált szabálykészletet különböző forgatókönyvekkel ellenőrizheti a Teszt gomb segítségével. A teszt párbeszédpanelben beírhatja a paramétereket egy forgatókönyv szimulálásához. Az OK gombbal a szabályok a megadott paraméterekkel feldolgozódnak, és egy üzenet jelenik meg a teszt eredményével.