Regole di controllo d’accesso
Introduzione
Le regole di controllo dell’accesso possono essere utilizzate per fornire un controllo dettagliato su cui gli utenti possono accedere a computer specifici in circostanze specifiche. Di seguito, il termine regola è usato come sinonimo di regola di controllo accessi.
Quando un utente tenta di accedere a un computer, le regole di controllo di accesso definite vengono elaborate una dopo l’altra fino a quando non si applicano tutte le condizioni di una regola. Non appena vengono applicate tutte le condizioni attivate di una regola, non vengono elaborate ulteriori regole e viene eseguita l’azione memorizzata (eccezione: la regola è disabilitata).
Le regole possono essere configurate tramite Veyon Configurator nella pagina di configurazione Controllo accessi nella sezione Regole di controllo degli accessi. L’elenco delle regole è vuoto per impostazione predefinita. In questo caso, tutti i tentativi di accesso vengono negati poiché non esiste una regola che consenta esplicitamente l’accesso. Ciò significa che deve essere definita almeno una regola che consenta l’accesso a determinate condizioni.
Aggiungi e modifica le regole
Facendo clic sul pulsante + si apre una finestra di dialogo che consente la creazione di una nuova regola. Le regole esistenti possono essere aperte o modificate facendo doppio clic su di esse o facendo clic sul pulsante con il simbolo della penna.
Una regola è essenzialmente costituita da impostazioni generali, condizioni e un’azione che viene eseguita quando si applicano tutte le condizioni. La finestra di dialogo è divisa in tre sezioni. Di seguito sono spiegati i significati delle singole opzioni nelle varie sezioni della finestra di dialogo.
Generale
Nel campo di immissione deve essere definito un nome per la regola Nome regola prima. Successivamente, il nome viene utilizzato per identificare la regola e viene visualizzato nell’elenco delle regole. A scopo di documentazione, è possibile aggiungere una descrizione facoltativa al campo di input Descrizione regola.
L’opzione Elabora sempre la regola e ignora le condizioni fa sì che le condizioni impostate di seguito non vengano esaminate per l’elaborazione della regola e l’azione impostata viene sempre eseguita. Ciò è particolarmente utile per le regole di fallback nella parte inferiore dell’elenco delle regole, in cui è possibile specificare che all’utente che ha effettuato l’accesso venga richiesta l’autorizzazione se non si applicano altre regole.
È possibile utilizzare l’opzione Inverti tutte le condizioni per determinare che tutte le condizioni attivate sono invertite prima della valutazione, il che significa che le condizioni attivate non devono essere applicate. Ad esempio, se la condizione Nessun utente connesso è attivata, la regola si applica solo se uno o più utenti sono connessi. Se una condizione è configurata in modo tale che un utente deve essere un membro di un gruppo specifico, la regola si applica solo se detto utente non è non un membro del gruppo.
Condizioni
Per elaborare una regola, è necessario applicare una o più condizioni.
- L’utente è membro del gruppo
Con questa condizione è possibile definire che l’utente che accede o che ha effettuato l’accesso locale deve essere un membro di un gruppo specifico. È possibile scegliere il gruppo desiderato. Se non sono selezionabili gruppi errati o solo errati, il Backend gruppi di utenti nelle impostazioni generali per Controllo di accesso al computer potrebbe dover essere modificato.
- Il computer si trova a
Con questa condizione è possibile definire che il computer di accesso o locale deve trovarsi in una posizione specifica. È possibile scegliere la posizione desiderata. Se non sono selezionabili posizioni errate, è necessario regolare Directory dell’oggetto di rete.
- L’accesso al computer e al computer locale si trovano nella stessa posizione
Con questa condizione è possibile determinare che il computer di accesso e il computer locale devono trovarsi nella stessa posizione. Ad esempio, questo può essere utilizzato per impedire agli insegnanti di accedere ai computer in diverse classi.
- Il computer in cui si sta entrando è localhost
Se questa condizione è abilitata, la regola si applica solo se il computer di accesso è il computer locale. Ciò garantisce ad esempio che gli insegnanti possano accedere al servizio Veyon locale. Questo accesso è necessario affinché Veyon Master esegua funzioni specifiche tramite il servizio Veyon (ad esempio il server per la modalità demo).
- L’utente a cui si sta accedendo ha uno o più gruppi in comune con l’utente locale (l’utente ora loggato).
È possibile utilizzare questa condizione per specificare che l’accesso e l’utente locale devono essere membri di almeno un gruppo comune, ad esempio un gruppo di utenti per una classe o un seminario.
- L’utente che sta entrando è registrato sull’utente
In alternativa alla condizione l’accesso al computer è localhost è inoltre possibile consentire a un utente di accedere alle proprie sessioni. Questa condizione deve essere attivata per questo scopo.
- L’utente che sta entrando è già connesso
In combinazione con la condizione Accesso al computer e al computer locale si trovano nella stessa posizione È possibile creare un set di regole esteso che consente l’accesso al computer in altre posizioni in determinate condizioni. Ciò include la possibilità di accedere a un computer se l’utente che accede è già connesso. Ad esempio, se l’insegnante accede a un computer insegnante nella stanza A e B contemporaneamente e visualizza i computer della stanza B visualizzati in Veyon Master, i computer nella stanza B hanno una connessione dall’insegnante. Quindi l’insegnante può anche accedere alla stanza B da Veyon Master nella stanza A se questa condizione viene attivata con un’azione di autorizzazione.
- Nessun utente connesso
Questa condizione determina come è possibile accedere a un computer quando nessun utente è connesso. Per una più semplice amministrazione del computer, può essere utile poter sempre accedere a un computer quando nessun utente è connesso.
Azione
Se si applicano tutte le condizioni abilitate di una regola, viene eseguita un’azione specifica in relazione all’accesso al computer. Puoi definire questa azione nella sezione Action:
- Permette l’accesso
È consentito l’accesso a un computer e non vengono elaborate ulteriori regole. Se nell’elenco delle regole è presente una regola che negherà l’accesso, l’accesso è ancora consentito. Ci deve essere almeno una regola con questa azione.
- Nega l’accesso
L’accesso a un computer viene negato e non vengono elaborate ulteriori regole. Se nell’elenco sottostante è presente una regola che consente l’accesso, l’accesso viene comunque negato.
- Chiedi permesso all’utente collegato
Questa azione visualizza una finestra di dialogo sul computer che consente all’utente loggato di scegliere se consentire o negare l’accesso. Non vengono elaborate ulteriori regole indipendentemente dalla decisione dell’utente.
- Nessuna (regola disabilitata)
Questa azione fa ignorare la regola. Il controllo dell’accesso continuerà elaborando la regola successiva. Questa opzione può essere utilizzata per creare una voce fittizia inattiva per suddividere visivamente l’elenco delle regole.
Facendo clic sul OK la regola e le modifiche apportate vengono accettate e la finestra di dialogo viene chiusa.
Regole di ordinamento
Importante
Le regole di controllo dell’accesso definite vengono elaborate una dopo l’altra nell’ordine dell’elenco. L’azione della prima regola corrispondente viene eseguita, anche se si applicherebbero anche le regole successive e porterebbe a un’azione diversa
Tutte le regole possono essere riordinate tramite i pulsanti con i simboli freccia. Le regole che dovrebbero sostanzialmente impedire o consentire l’accesso in base a determinati criteri dovrebbero essere collocate il più in alto possibile. Di seguito sono riportate le regole per i casi speciali. Le regole per l’implementazione del comportamento di fallback dovrebbero essere in fondo.
Concatenazione logica delle regole
Se in una regola è attivata più di una condizione, è necessario applicare * ogni * condizione per applicare la regola (AND logico). Se si deve applicare solo una delle diverse regole (OR logico), è necessario definire diverse regole di controllo dell’accesso.
Con le conoscenze di base dell’algebra booleana, l’opzione * Inverti tutte le condizioni * può essere utilizzata come operatore di negazione in combinazione con azioni invertite per modellare scenari estesi. Ad esempio, se un utente deve essere un membro di due gruppi specifici per consentire l’accesso a un computer, è possibile creare due regole separate che negano l’accesso, se l’utente * non * è un membro di entrambi i gruppi.
Nota
Se non esiste una regola di controllo di accesso corrispondente in modo da applicare tutte le condizioni attivate, l’accesso viene negato e la connessione viene chiusa. Ciò impedisce a un utente malintenzionato di accedere accidentalmente a causa di un set di regole incompleto.
Test di un set di regole
Nella sezione Controllo dell’accesso al computer il set di regole configurato può essere verificato con vari scenari usando il pulsante :guilabel:` Test`. Nella finestra di dialogo del test è possibile inserire i parametri per simulare uno scenario. Con il pulsante OK le regole vengono elaborate con i parametri indicati e viene visualizzato un messaggio con il risultato del test.