Правила контроля доступа
Вступление
Правила контроля доступа могут использоваться для обеспечения подробного контроля над тем, какие пользователи могут получить доступ к определенным компьютерам при определенных обстоятельствах. Далее термин правило используется как синоним для правила управления доступом.
Когда пользователь пытается получить доступ к компьютеру, определенные правила контроля доступа обрабатываются один за другим, пока не будут выполнены все условия правила. Как только все активированные условия правила применяются, дальнейшие правила не обрабатываются, и сохраненное действие выполняется (исключение: правило отключено).
Правила могут быть настроены через Veyon Конфигуратор на странице конфигурации Контроль доступа в разделе Правила контроля доступа. Список правил пуст по умолчанию. В этом случае все попытки доступа отклоняются, поскольку нет правила, которое явно разрешает доступ. Это означает, что должно быть определено по крайней мере одно правило, которое разрешает доступ при определенных условиях.
Добавить и изменить правила
При нажатии на кнопку + откроется диалоговое окно, в котором можно создать новое правило. Существующие правила можно открыть или отредактировать, дважды щелкнув их или нажав кнопку с символом пера.
Правило в основном состоит из общих настроек, условий и действия, которое выполняется, когда применяются все условия. Диалог разделен на три раздела. Значения отдельных опций в различных разделах диалога описаны ниже.
Главное
В первую очередь имя для правила должно быть определено в поле ввода Название правила. Позже это имя используется для идентификации правила и отображается в списке правил. Для целей документирования необязательное описание может быть добавлено в поле ввода Описание правила.
Опция Всегда обрабатывать правило и игнорировать условия приводит к тому, что условия, установленные ниже, не будут проверяться для обработки правила и набор действий всегда выполняется. Это особенно полезно для резервных правил в внизу списка правил, где вы можете указать, что у вошедшего в систему пользователя запрашивается разрешение, если не применяются другие правила.
Вы можете использовать опцию Инвертировать все условия, чтобы инвертировать все активированные условия перед оценкой, это означает, что активированные условия не должны применяться. Например, если условие Ни один пользователь не вошел в систему активировано, правило применяется, только если один или несколько пользователей вошли в систему. Если условие настроено так, что пользователь должен быть членом определенной группы, правило применяется только в том случае, если указанный пользователь не является членом группы.
Условия
Для обработки правила должно применяться одно или несколько условий.
- Пользователь является членом группы
Вы можете использовать это условие, чтобы указать, что либо пользователь, осуществляющий доступ, либо локально вошедший в систему пользователь должен быть членом определённой группы. Необходимую группу можно выбрать из списка. Если группы отсутствуют или доступны только некорректные варианты, может потребоваться изменить параметр User groups backend в общих настройках Контроль доступа к компьютеру. В качестве альтернативы можно указать регулярное выражение для управления доступом из или к определённым группам, имена которых соответствуют заданному шаблону, например,
/Class 20\d\d-\d\d/для групп классов формата 20NN-NN.- Компьютер расположен в
С помощью этого условия можно задать, что либо компьютер, осуществляющий доступ, либо локальный компьютер должен находиться в определённой локации. Необходимую локацию можно выбрать из списка. Если локации отсутствуют или доступны только некорректные варианты, необходимо изменить настройки Каталог сетевых объектов . В качестве альтернативы можно указать регулярное выражение для управления доступом из или к нескольким локациям, имена которых соответствуют заданному шаблону.
- Компьютер, с которого осуществляется доступ, расположен в том же месте, что и локальный компьютер
С помощью этого условия можно указать, что компьютер, выполняющий доступ, и локальный компьютер должны находиться в одной и той же локации. Это может использоваться, например, для предотвращения доступа преподавателей к компьютерам за пределами их собственного класса.
- Компьютер, с которого осуществляется доступ, является локальным (localhost)
Если это условие включено, правило применяется только в том случае, если доступ осуществляется к локальному компьютеру. Это гарантирует, например, что учителя могут получить доступ к локальному Veyon Service. Этот доступ необходим Veyon Master для выполнения определенных функций через Veyon Service (например, сервер для демонстрационного режима).
- Пользователь, выполняющий доступ, состоит как минимум в одной общей группе с локальным (вошедшим в систему) пользователем
Вы можете использовать это условие, чтобы указать, что получающий доступ и локальный пользователь должны быть членами по крайней мере одной общей группы, например группы пользователей для занятия или семинара.
- Доступ осуществляется вошедшим в систему пользователем
В качестве альтернативы условию Компьютер, с которого осуществляется доступ, является локальным можно разрешить пользователю получать доступ к его собственным сеансам. Для этого должно быть активировано соответствующее условие.
- Пользователь, выполняющий доступ, уже подключен
В сочетании с условием Компьютер, с которого осуществляется доступ, расположен в том же месте, что и локальный компьютер можно создать расширенный набор правил, позволяющий при определённых условиях получать доступ к компьютерам, находящимся в других локациях. Это включает возможность доступа к компьютеру, если пользователь, выполняющий подключение, уже имеет активное соединение. Например, если преподаватель вошёл в систему на учительских компьютерах одновременно в аудиториях A и B и просматривает компьютеры аудитории B в программе Veyon Master, то компьютеры в аудитории B уже имеют соединение с этим преподавателем. В таком случае преподаватель сможет также получить доступ к аудитории B из Veyon Master, запущенной в аудитории A, если данное условие активировано с действием «Разрешить доступ».
- Пользователь не вошел
Это условие определяет, как можно получить доступ к компьютеру, когда ни один пользователь не вошел в систему. Для упрощения администрирования может быть полезно всегда иметь возможность получить доступ к компьютеру, когда ни один пользователь не вошел в систему.
- К локальному компьютеру уже осуществляется доступ
Если это условие активировано, правило вступает в силу в случае, если к локальной службе Veyon уже установлено хотя бы одно соединение. Это можно использовать, например, для предотвращения параллельного доступа к компьютеру.
Действие
Если применяются все разрешенные условия правила, выполняется определенное действие в отношении доступа к компьютеру. Вы можете определить это действие в разделе Действие:
- Разрешить доступ
Доступ к компьютеру разрешен, и дальнейшие правила не обрабатываются. Если в приведенном ниже списке правил есть правило, запрещающее доступ, доступ по-прежнему разрешен. Для этого действия должно быть по крайней мере одно правило.
- Запретить доступ
Доступ к компьютеру запрещен, и дальнейшие правила не обрабатываются. Если есть правило в приведенном ниже списке правил, которое разрешало бы доступ, доступ по-прежнему запрещен.
- Запросить полномочия вошедшего пользователя
Это действие отображает диалоговое окно на компьютере, которое позволяет авторизованному пользователю выбрать, разрешить или запретить доступ. Никакие дополнительные правила не обрабатываются независимо от решения пользователя.
- Нет (правило отключено)
Это действие приводит к игнорированию правила. Контроль доступа перейдёт к обрабатке следующего правила. Этот параметр можно использовать для создания неактивной фиктивной записи для визуального разделения списка правил.
Нажатием на кнопку OK правило и внесенные изменения будут приняты и диалоговое окно закрыто.
Правила сортировки
Важно
Определенные правила контроля доступа обрабатываются одно за другим в порядке следования в списке. Действие первого правила для которого выполнены условия запустится, даже если последующие правила также удовлетворены и приведут к другому действию.
Порядок обработки правил можно изменить с помощью кнопок со стрелками. Правила, которые должны в первую очередь разрешать или запрещать доступ на основе определённых критериев, следует размещать как можно выше. Правила для обработки особых случаев могут следовать ниже. Правила, реализующие поведение по умолчанию, должны находиться в самом низу.
Логическое объединение правил
Если для правила активировано несколько условий, то для его применения все эти условия должны быть выполнены одновременно (логическая операция И). Если же требуется, чтобы правило срабатывало при выполнении любого одного из условий (логическая операция ИЛИ), необходимо создать несколько отдельных правил управления доступом.
Обладая базовыми знаниями булевой алгебры, опция * Инвертировать все условия* может использоваться в качестве оператора отрицания в сочетании с инвертированными действиями для моделирования расширенных сценариев. Например, если пользователь должен быть членом двух определенных групп, чтобы разрешить доступ к компьютеру, можно создать два отдельных правила, которые запрещают доступ, если пользователь не является членом ни одной из групп.
Примечание
Если нет соответствующего правила контроля доступа, для которого удовлетворены все активированные условия, доступ запрещен и соединение закрыто. Это предотвращает случайное разрешение доступа злоумышленнику из-за неполного набора правил.
Тестирование набора правил
В разделе Контроль доступа к компьютеру настроенный набор правил можно проверить с помощью различных сценариев, используя кнопку Тестировать. В диалоговом окне тестирования вы можете ввести параметры для имитации сценария. С помощью кнопки OK правила обрабатываются с заданными параметрами и отображается сообщение с результатом теста.