Reguły dostępu
Wprowadzenie
Reguły kontroli dostępu mogą służyć do szczegółowej kontroli, którzy użytkownicy mogą uzyskać dostęp do określonych komputerów w określonych okolicznościach. Poniżej termin * reguła * jest używany jako synonim * reguły kontroli dostępu *.
Gdy użytkownik próbuje uzyskać dostęp do komputera, zdefiniowane reguły kontroli dostępu są przetwarzane kolejno, aż zostaną spełnione wszystkie warunki reguły. Gdy tylko wszystkie aktywowane warunki reguły zostaną zastosowane, dalsze reguły nie są przetwarzane, a zapisana akcja jest wykonywana (wyjątek: reguła jest wyłączona).
Reguły można skonfigurować za pomocą Konfiguratora Veyon na stronie konfiguracji: patrz: „ConfAccessControl` w sekcji: guilabel:` Reguły kontroli dostępu`. Lista reguł jest domyślnie pusta. W takim przypadku wszystkie próby dostępu są odrzucane, ponieważ nie ma reguły, która wyraźnie zezwala na dostęp. Oznacza to, że należy zdefiniować co najmniej jedną regułę, która zezwala na dostęp pod pewnymi warunkami.
Dodaj i zmodyfikuj reguły
Po kliknięciu przycisku: guilabel: + otworzy się okno dialogowe, które umożliwia utworzenie nowej reguły. Istniejące reguły można otworzyć lub edytować, klikając je dwukrotnie lub klikając przycisk z symbolem pióra.
Reguła zasadniczo składa się z ogólnych ustawień, warunków i akcji wykonywanej, gdy spełnione są wszystkie warunki. Okno dialogowe jest podzielone na trzy sekcje. Znaczenie poszczególnych opcji w różnych sekcjach okna dialogowego wyjaśniono poniżej.
Ogólne
Nazwę reguły należy zdefiniować w polu: guilabel: najpierw „Nazwa reguły”. Nazwa jest później używana do identyfikacji reguły i jest wyświetlana na liście reguł. Do celów dokumentacji można dodać opcjonalny opis w polu wejściowym: guilabel: Opis reguły.
Opcja: guilabel: „Zawsze przetwarzaj regułę i ignoruj warunki” powoduje, że określone poniżej warunki nie są sprawdzane pod kątem przetwarzania reguł i ustawiona akcja jest zawsze wykonywana. Jest to szczególnie przydatne w przypadku reguł rezerwowych u dołu listy reguł, w których można określić, że zalogowany użytkownik jest proszony o zgodę, jeśli nie mają zastosowania inne reguły.
Możesz użyć opcji: guilabel: Odwróć wszystkie warunki, aby ustalić, że wszystkie aktywowane warunki są odwrócone przed oceną, co oznacza, że aktywowane warunki nie mogą mieć zastosowania. Na przykład, jeśli aktywowany jest warunek * Nie zalogowano użytkownika *, reguła obowiązuje tylko wtedy, gdy zalogowany jest co najmniej jeden użytkownik. Jeśli warunek jest skonfigurowany w taki sposób, że użytkownik musi być członkiem określonej grupy, reguła ma zastosowanie tylko wtedy, gdy wspomniany użytkownik * nie * jest członkiem grupy.
Warunki
Aby reguła mogła zostać przetworzona, musi zostać spełniony co najmniej jeden warunek.
- Użytkownik jest członkiem grupy
Ten warunek umożliwia zdefiniowanie, że użytkownik uzyskujący dostęp lub zalogowany lokalnie musi być członkiem określonej grupy. Pożądaną grupę można wybrać. Jeśli nie można wybrać żadnej lub tylko niewłaściwe grupy, * zaplecze grup użytkowników * w ustawieniach ogólnych dla: ref: ComputerAccessControl może wymagać dostosowania.
- Komputer znajduje się pod adresem
Ten warunek umożliwia określenie, czy komputer uzyskujący dostęp lub komputer lokalny musi znajdować się w określonej lokalizacji. Pożądaną lokalizację można wybrać. Jeśli nie można wybrać żadnych lub są nieprawidłowe, należy skorygować: ref: RefNetworkObjectDirectory.
- Logujący się komputer i lokalny komputer są w tej samej lokalizacji
Ten warunek pozwala ustalić, że komputer uzyskujący dostęp i komputer lokalny muszą znajdować się w tym samej lokalizacji. Można to na przykład wykorzystać, aby uniemożliwić nauczycielom dostęp do komputerów w różnych klasach.
- Łączący się komputer to localhost
Jeśli ten warunek jest włączony, reguła ma zastosowanie tylko wtedy, gdy komputer uzyskujący dostęp jest komputerem lokalnym. Zapewnia to na przykład, że nauczyciele mogą uzyskać dostęp do lokalnej usługi Veyon. Ten dostęp jest niezbędny, aby Veyon Master mógł wykonywać określone funkcje za pośrednictwem usługi Veyon (np. Serwer w trybie demonstracyjnym).
- Logujący się użytkownik ma jedną lub więcej grup wspólnych z użytkownikiem lokalnym (zalogowanym)
Możesz użyć tego warunku, aby określić, że użytkownik uzyskujący dostęp i użytkownik lokalny muszą należeć do co najmniej jednej wspólnej grupy, na przykład grupy użytkowników na zajęcia lub seminarium.
- Logujący się użytkownik jest już zalogowany
Alternatywą dla warunku * łączący się jest localhost *, możesz także zezwolić użytkownikowi na dostęp do jego własnych sesji. W tym celu należy aktywować ten warunek.
- Logujący się użytkownik jest już połączony
w połączeniu z warunkiem * Dostęp do komputera i komputer lokalny znajdują się w tej samej lokalizacji * można utworzyć rozszerzony zestaw reguł, umożliwiający dostęp do komputera w innych lokalizacjach pod pewnymi warunkami. Obejmuje to możliwość uzyskania dostępu do komputera, jeśli użytkownik uzyskujący dostęp jest już podłączony. Na przykład, jeśli nauczyciel loguje się jednocześnie do komputera nauczyciela w pokoju A i B i wyświetla komputery z pokoju B wyświetlane w Veyon Master, komputery w pokoju B mają połączenie z nauczycielem. Następnie nauczyciel może również uzyskać dostęp do pokoju B od Veyon Master w pokoju A, jeśli ten warunek zostanie włączony.
- Brak zalogowanych użytkowników.
Ten warunek określa sposób dostępu do komputera, gdy żaden użytkownik nie jest zalogowany. Aby ułatwić administrowanie komputerem, pomocne może być zawsze uzyskanie dostępu do komputera, gdy żaden użytkownik nie jest zalogowany.
Akcja
Jeśli obowiązują wszystkie włączone warunki reguły, określone działanie jest wykonywane z poszanowaniem zasad dostępu do komputera. Możesz zdefiniować tę akcję w sekcji: guilabel: Action:
- Zezwól na dostęp.
Jeśli obowiązują wszystkie włączone warunki reguły, określone działanie jest wykonywane w odniesieniu do dostępu do komputera. Możesz zdefiniować tę akcję w sekcji: guilabel: Action:
- Odmów dostępu.
Odmowa dostępu do komputera i dalsze zasady nie są przetwarzane. Jeśli na liście reguł znajduje się reguła, która zezwala na dostęp, dostęp jest nadal zabroniony.
- Poproś zalogowanego użytkownika o dostęp
Ta akcja wyświetla okno dialogowe na komputerze, które pozwala zalogowanemu użytkownikowi wybrać, czy zezwolić, czy odmówić dostępu. Żadne dalsze reguły nie są przetwarzane niezależnie od decyzji użytkownika.
- Brak (reguła nieaktywna)
Ta akcja powoduje, że reguła jest ignorowana. Kontrola dostępu będzie kontynuowana poprzez przetwarzanie następnej reguły. Tej opcji można użyć do utworzenia nieaktywnego fikcyjnego wpisu w celu wizualnego podziału listy reguł.
Klikając przycisk: guilabel: OK, reguła i wprowadzone zmiany zostają zaakceptowane, a okno dialogowe zamknięte.
Reguły wykonywania zasad
Ważne
Zdefiniowane reguły kontroli dostępu są przetwarzane jedna po drugiej w kolejności na liście. Działanie pierwszej pasującej reguły są wykonywane, nawet jeśli kolejne reguły również miałyby zastosowanie i prowadziły do innej akcji.
Wszystkie reguły można zmienić za pomocą przycisków z symbolami strzałek. Zasady, które powinny zasadniczo uniemożliwiać lub zezwalać na dostęp w oparciu o określone kryteria, powinny być umieszczone jak najwyżej. Zasady dotyczące specjalnych przypadków można znaleźć poniżej. Zasady implementacji funkcji na wypadek problemów powinny znajdować się na dole.
Logiczne połączenie reguł
Jeśli więcej niż jeden warunek jest aktywowany w regule, * każdy * warunek musi mieć zastosowanie do reguły, która ma być zastosowana (logiczne AND). Jeśli zastosowanie ma tylko jedna z kilku reguł (logiczna OR), należy zdefiniować kilka reguł kontroli dostępu.
Dzięki podstawowej wiedzy o algebrze logicznej opcja * Odwróć wszystkie warunki * może być używana jako operator negacji w połączeniu z odwróconymi działaniami w celu modelowania scenariuszy rozszerzonych. Na przykład, jeśli użytkownik musi być członkiem dwóch określonych grup, aby umożliwić dostęp do komputera, można utworzyć dwie osobne reguły, które odmawiają dostępu, jeśli użytkownik * nie * jest członkiem żadnej z grup.
Informacja
Jeśli nie ma pasującej reguły kontroli dostępu, aby obowiązywały wszystkie aktywowane warunki, dostęp jest odmawiany, a połączenie zostaje zamknięte. Zapobiega to przypadkowemu udostępnieniu osobie atakującej z powodu niepełnego zestawu reguł.
Testowanie zestawu reguł
W sekcji: guilabel: Kontrola dostępu skonfigurowany zestaw reguł można sprawdzić w różnych scenariuszach za pomocą przycisku: guilabel:` Test`. W oknie dialogowym testu można wprowadzić parametry symulujące scenariusz. Za pomocą przycisku: guilabel: OK reguły są przetwarzane z podanymi parametrami i wyświetla się komunikat z wynikiem testu.