Toegangscontrole regels

Inleiding

Toegangscontroleregels kunnen gebruikt worden om gedetailleerd te regelen welke gebruikers toegang hebben tot specifieke computers onder specifieke omstandigheden. In het volgende wordt de term regel gebruikt als synoniem voor toegangscontroleregel.

Wanneer een gebruiker toegang probeert te krijgen tot een computer, worden de gedefinieerde toegangscontroleregels één voor één verwerkt totdat alle voorwaarden van een regel van toepassing zijn. Zodra alle geactiveerde voorwaarden van een regel van toepassing zijn, worden er geen regels meer verwerkt en wordt de opgeslagen actie uitgevoerd (uitzondering: regel is uitgeschakeld).

De regels kunnen via de Veyon Configurator op de configuratiepagina Toegangscontrole in de sectie Toegangscontroleregels worden geconfigureerd. De lijst met regels is standaard leeg. In dit geval worden alle toegangspogingen geweigerd omdat er geen regel is die expliciet toegang toestaat. Dit betekent dat er ten minste één regel moet worden gedefinieerd die toegang onder bepaalde voorwaarden toestaat.

Regels toevoegen en wijzigen

Als je op de knop + klikt, wordt er een dialoogvenster geopend waarmee je een nieuwe regel kunt maken. Bestaande regels kunnen worden geopend of bewerkt door erop te dubbelklikken of door op de knop met het pen-symbool te klikken.

Een regel bestaat in principe uit algemene instellingen, voorwaarden en een actie die wordt uitgevoerd als alle voorwaarden van toepassing zijn. Het dialoogvenster is verdeeld in drie secties. De betekenis van de individuele opties in de verschillende dialoogsecties wordt hieronder uitgelegd.

Algemeen

Een naam voor de regel moet eerst worden gedefinieerd in het invoerveld Regelnaam. De naam wordt later gebruikt om de regel te identificeren en wordt weergegeven in de lijst met regels. Voor documentatiedoeleinden kan een optionele beschrijving worden toegevoegd aan het Regelbeschrijving invoerveld.

De optie Regel altijd verwerken en voorwaarden negeren zorgt ervoor dat de hieronder ingestelde voorwaarden niet worden onderzocht voor regelverwerking en dat de ingestelde actie altijd wordt uitgevoerd. Dit is vooral handig voor terugvalregels onderaan de lijst met regels, waar je kunt aangeven dat de aangemelde gebruiker om toestemming wordt gevraagd als er geen andere regels van toepassing zijn.

Je kunt de Alle voorwaarden omkeren optie gebruiken om te bepalen dat alle geactiveerde voorwaarden worden omgekeerd voor evaluatie, wat betekent dat geactiveerde voorwaarden niet van toepassing zijn. Als bijvoorbeeld de voorwaarde Geen gebruiker ingelogd is geactiveerd, is de regel alleen van toepassing als een of meer gebruikers zijn ingelogd. Als een voorwaarde zo is geconfigureerd dat een gebruiker lid moet zijn van een specifieke groep, dan is de regel alleen van toepassing als de genoemde gebruiker geen lid is van de groep.

Voorwaarden

Om een regel te kunnen verwerken, moeten een of meer voorwaarden van toepassing zijn.

Gebruiker is lid van een groep: Met deze voorwaarde kun je bepalen dat ofwel de toegang krijgende ofwel de lokaal aangemelde gebruiker lid moet zijn van een specifieke groep. De gewenste groep kan worden gekozen. Als er geen of alleen verkeerde groepen kunnen worden geselecteerd, moet de User groups backend onder de algemene instellingen voor Computer toegangscontrole mogelijk worden aangepast.
Computer is gelokaliseerd op: Met deze voorwaarde kun je bepalen dat de toegang of de lokale computer zich op een specifieke locatie moet bevinden. De gewenste locatie kan worden gekozen. Als er geen of alleen verkeerde locaties kunnen worden geselecteerd, moet de Netwerk object map worden aangepast.
Toegangzoekende computer bevindt zich in hetzelfde lokaal als lokale computer: Met deze voorwaarde kun je bepalen dat de computer die toegang krijgt en de lokale computer zich op dezelfde locatie moeten bevinden. Dit kan bijvoorbeeld worden gebruikt om te voorkomen dat leraren toegang krijgen tot computers in verschillende klaslokalen.

Toegangzoekende computer is localhost: Als deze voorwaarde is ingeschakeld, geldt de regel alleen als de computer die toegang heeft de lokale computer is. Dit zorgt er bijvoorbeeld voor dat docenten toegang hebben tot de lokale Veyon Service. Deze toegang is nodig om de Veyon Master bepaalde functies via de Veyon Service te laten uitvoeren (bijv. de server voor de demomodus).
Toegangzoekende gebruiker heeft een of meerdere groepen gemeenschappelijk met de lokale (aangemelde) gebruiker: Je kunt deze voorwaarde gebruiken om aan te geven dat de toegang en de lokale gebruiker lid moeten zijn van minstens één gemeenschappelijke groep, bijvoorbeeld een gebruikersgroep voor een klas of een seminarie.
Toegangzoekende gebruiker is de aangelogde gebruiker: Als alternatief voor de voorwaarde toegangscomputer is localhost kun je een gebruiker ook toegang geven tot zijn eigen sessies. Hiervoor moet deze voorwaarde worden geactiveerd.
Toegangzoekende gebruiker is reeds aangemeld: In combinatie met de voorwaarde Toegangscomputer en lokale computer bevinden zich op dezelfde locatie kan een uitgebreide regelset worden aangemaakt die onder bepaalde voorwaarden toegang geeft tot computers op andere locaties. Dit omvat de mogelijkheid om toegang te krijgen tot een computer als de gebruiker die toegang heeft al verbonden is. Als bijvoorbeeld de docent tegelijkertijd inlogt op een docentcomputer in lokaal A en B en de computers van lokaal B in Veyon Master worden weergegeven, dan hebben de computers in lokaal B een verbinding van de docent. Dan kan de docent vanuit Veyon Master ook in ruimte A toegang krijgen tot ruimte B als deze voorwaarde met een actie toestaan wordt geactiveerd.
Geen gebruiker ingelogd: Deze voorwaarde bepaalt hoe een computer benaderd kan worden als er geen gebruiker is aangemeld. Voor eenvoudiger computerbeheer kan het handig zijn om altijd toegang te hebben tot een computer als er geen gebruiker is aangemeld.

Actie

Als alle ingeschakelde voorwaarden van een regel van kracht zijn, wordt een specifieke actie uitgevoerd met betrekking tot computertoegang. Je kunt deze actie definiëren in :guilabel: Actie:

Sta toegang toe: Toegang tot een computer is toegestaan en verdere regels worden niet verwerkt. Als er een regel in de onderstaande lijst met regels staat die toegang zou weigeren, dan is toegang nog steeds toegestaan. Er moet minstens één regel zijn met deze actie.

Weiger toegang: Toegang tot een computer wordt geweigerd en verdere regels worden niet verwerkt. Als er een regel in de onderstaande lijst met regels staat die toegang zou toestaan, wordt de toegang nog steeds geweigerd.

Vraag ingelogde gebruiker om toestemming: Deze actie toont een dialoogvenster op de computer waarin de ingelogde gebruiker kan kiezen of hij toegang toestaat of weigert. Er worden geen verdere regels verwerkt, ongeacht de beslissing van de gebruiker.
Geen (regel uitgeschakeld): Deze actie zorgt ervoor dat de regel wordt genegeerd. De toegangscontrole wordt voortgezet door de volgende regel te verwerken. Deze optie kan gebruikt worden om een inactief dummy-item te maken om de lijst met regels visueel onder te verdelen.

Door op de OK knop te klikken worden de regel en de gemaakte wijzigingen geaccepteerd en wordt het dialoogvenster gesloten.

Regels sorteren

Belangrijk

De gedefinieerde toegangscontroleregels worden na elkaar verwerkt in de volgorde van de lijst. De actie van de eerste overeenkomende regel wordt uitgevoerd, zelfs als volgende regels ook van toepassing zouden zijn en tot een andere actie zouden leiden.

Alle regels kunnen opnieuw worden gerangschikt via de knoppen met de pijlsymbolen. Regels die fundamenteel toegang moeten voorkomen of toestaan op basis van bepaalde criteria moeten zo hoog mogelijk worden geplaatst. Regels voor speciale gevallen kunnen daaronder volgen. Regels voor de implementatie van terugval gedrag zouden onderaan moeten staan.

Logische opeenvolging van regels

Als er meer dan één voorwaarde wordt geactiveerd in een regel, moet elke voorwaarde van toepassing zijn om de regel toe te passen (logische AND). Als slechts één van meerdere regels moet worden toegepast (logische OR), moeten er meerdere toegangscontroleregels worden gedefinieerd.

Met basiskennis van Booleaanse algebra kan de optie Alle voorwaarden omkeren gebruikt worden als negatie operator in combinatie met omgekeerde acties om uitgebreide scenario’s te modelleren. Als een gebruiker bijvoorbeeld lid moet zijn van twee specifieke groepen om toegang te krijgen tot een computer, dan kunnen twee aparte regels worden aangemaakt die toegang weigeren als de gebruiker geen lid is van een van beide groepen.

Notitie

Als er geen overeenkomende toegangscontroleregel is zodat alle geactiveerde voorwaarden van toepassing zijn, wordt de toegang geweigerd en wordt de verbinding afgesloten. Dit voorkomt dat een aanvaller per ongeluk toegang krijgt door een onvolledige regelset.

Een regelset testen

In sectie Computer toegangscontrole kan de geconfigureerde regelset worden gecontroleerd met verschillende scenario’s met behulp van de Test knop. In het testvenster kunt u de parameters invoeren om een scenario te simuleren. Met de knop OK worden de regels verwerkt met de opgegeven parameters en wordt een bericht met het testresultaat weergegeven.