Правила контроля доступа

Вступление

Правила контроля доступа могут использоваться для обеспечения подробного контроля над тем, какие пользователи могут получить доступ к определенным компьютерам при определенных обстоятельствах. Далее термин правило используется как синоним для правила управления доступом.

Когда пользователь пытается получить доступ к компьютеру, определенные правила контроля доступа обрабатываются один за другим, пока не будут выполнены все условия правила. Как только все активированные условия правила применяются, дальнейшие правила не обрабатываются, и сохраненное действие выполняется (исключение: правило отключено).

Правила могут быть настроены через Veyon Configurator на странице конфигурации: ref: ConfAccessControl в разделе: guilabel:` Правила контроля доступа`. Список правил пуст по умолчанию. В этом случае все попытки доступа отклоняются, поскольку нет правила, которое явно разрешает доступ. Это означает, что должно быть определено по крайней мере одно правило, которое разрешает доступ при определенных условиях.

Добавить и изменить правила

При нажатии на кнопку: guilabel: + откроется диалоговое окно, в котором можно создать новое правило. Существующие правила можно открыть или отредактировать, дважды щелкнув их или нажав кнопку с символом пера.

Правило в основном состоит из общих настроек, условий и действия, которое выполняется, когда применяются все условия. Диалог разделен на три раздела. Значения отдельных опций в различных разделах диалога описаны ниже.

Главное

В первую очередь имя для правила должно быть определено в поле ввода: guilabel: Имя правила. Позже имя используется для идентификации правила и отображается в списке правил. Для целей документирования необязательное описание может быть добавлено в поле ввода: guilabel: Rule description.

Опция: guilabel: «Всегда обрабатывать правило и игнорировать условия» приводит к тому, что указанные ниже условия не проверяются для обработки правила, и действие set всегда выполняется. Это особенно полезно для резервных правил в нижней части списка правил, где вы можете указать, что вошедший в систему пользователь запрашивает разрешение, если другие правила не применяются.

Вы можете использовать опцию Инвертировать все условия, чтобы определить, что все активированные условия инвертированы перед оценкой, что означает, что активированные условия не должны применяться. Например, если условие Ни один пользователь не вошел в систему активировано, правило применяется, только если один или несколько пользователей вошли в систему. Если условие настроено так, что пользователь должен быть членом определенной группы, правило применяется только в том случае, если указанный пользователь не является членом группы.

Условия

Для обработки правила должно применяться одно или несколько условий.

Пользователь является членом группы
With this condition you can define that either the accessing or the locally logged on user must be a member of a specific group. The desired group can be chosen. If no or only wrong groups are selectable, the User groups backend under the general settings for Контроль доступа к компьютеру may have to be adjusted.
Компьютер расположен в
With this condition you can define that either the accessing or the local computer has to be located at a specific location. The desired location can be chosen. If no or only wrong locations are selectable the Каталог сетевых объектов has to be adjusted.
Компьютер для доступа расположен в том же месте, что и локальный компьютер
With this condition you can determine that the accessing computer and the local computer have to be located at the same location. This can for example be used to prevent teachers from accessing computers in different classroom.
Доступ к компьютеру как localhost
If this condition is enabled, the rule applies only if the accessing computer is the local computer. This ensures for example that teachers can access the local Veyon Service. This access is necessary for the Veyon Master to execute specific functions via the Veyon Service (e.g. the server for demo mode).
Доступ к пользователю имеет одна или несколько групп, совместно с локальным пользователем (вошедшим в систему)
You can use this condition to specify that the accessing and the local user have to be members of at least one common group, for example a user group for a class or a seminar.
Доступ к пользователю осуществляется пользователем
As an alternative to the condition accessing computer is localhost you can also allow a user to access his own sessions. This condition must be activated for this purpose.
Доступ к пользователю уже подключен
In conjunction with the condition Accessing computer and local computer are at the same location an extended ruleset can be created allowing access to computer at other locations under certain conditions. This includes the possibility to access a computer if the accessing user is already connected. For example, if the teacher logs on to a teacher computer in room A and B simultaneously and displays the computers of room B displayed in Veyon Master, the computers in room B have a connection from the teacher. Then the teacher can also access room B from Veyon Master in room A if this condition is activated with an allow action.
Пользователь не вошел
This condition determines how a computer can be accessed when no user is logged on. For easier computer administration, it can be helpful to always be able to access a computer when no user is logged on.

Действие

If all the enabled conditions of a rule apply, a specific action is performed with respect to computer access. You can define this action in section Action:

Разрешить доступ
Access to a computer is allowed and further rules are not processed. If there is a rule in the rules list below that would deny access, access is still allowed. There must be at least one rule with this action.
Запретить доступ
Access to a computer is denied and further rules are not processed. If there is a rule in the rules list below that would allow access, access is still denied.
Запросить у вошедшего пользователя полномочия
This action displays a dialog on the computer that allows the logged-in user to choose whether to allow or deny access. No further rules are processed regardless of the user’s decision.
Нет (правило отключено)
This action makes the rule being ignore. Access control will be continued by processing the next rule. This option can be used to create an inactive dummy entry to visually subdivide the rules list.

By clicking the OK button the rule and the changes made are accepted and the dialog is closed.

Sorting rules

Важно

The defined access control rules are processed one after the other in the order of the list. The action of the first matching rule is executed, even if subsequent rules would also apply and lead to a different action.

All rules can be reordered via the buttons with the arrow symbols. Rules that should fundamentally prevent or allow access based on certain criteria should be placed as high up as possible. Rules to cover special cases can follow below. Rules for the implementation of fallback behaviour should be at the bottom.

Logical concatenation of rules

If more than one condition is activated in a rule, each condition must apply for the rule to be applied (logical AND). If only one of several rules should apply (logical OR), several access control rules must be defined.

With basic knowledge of Boolean algebra, the option Invert all conditions can be used as negation operator in conjunction with inverted actions to model extended scenarios. For example, if a user must be a member of two specific groups to allow access to a computer, two separate rules can be created that deny access, if the user is not a member of either group.

Примечание

If there is no matching access control rule so that all activated conditions apply, access is denied and the connection is closed. This prevents an attacker from being accidentally allowed access due to an incomplete ruleset.

Testing a ruleset

In section Computer access control the configured ruleset can be checked with various scenarios using the Test button. In the test dialog you can enter the parameters to simulate a scenario. With the button OK the rules are processed with the given parameters and a message with the test result is displayed.