Pravila za nadzor dostopa

Uvod

Pravila za nadzor dostopa se lahko uporabijo za podroben nadzor nad tem, kateri uporabniki lahko dostopajo do določenih računalnikov v posebnih okoliščinah. V nadaljevanju se izraz pravilo uporablja kot sinonim za pravilo nadzora dostopa.

Ko uporabnik poskuša dostopati do računalnika, se definirana pravila za nadzor dostopa obdelujejo eden za drugim, dokler ne veljajo vsi pogoji pravila. Takoj, ko veljajo vsi aktivirani pogoji pravila, nadaljnja pravila niso obdelana in se shranjeno dejanje izvaja (izjema: pravilo je onemogočeno).

Pravila lahko konfigurirate preko Veyon konfiguratorja na konfiguracijski strani Nadzor dostopa v razdelku Access control rules. Seznam pravil je privzeto prazen. V tem primeru so vsi poskusi dostopa zavrnjeni, ker ni pravila, ki izrecno dovoljuje dostop. To pomeni, da mora biti definirano vsaj eno pravilo, ki omogoča dostop pod določenimi pogoji.

Dodajanje in spreminjanje pravil

Po kliku na gumb :guilabel: + se odpre pogovorno okno, ki omogoča ustvarjanje novega pravila. Obstoječa pravila je mogoče odpreti ali urejati z dvojnim klikom na njih ali s klikom na gumb s simbolom peresa.

Pravilo je v osnovi sestavljeno iz splošnih nastavitev, pogojev in dejanja, ki se izvede, ko veljajo vsi pogoji. Pogovorno okno je razdeljeno na tri dele. V nadaljevanju so pojasnjeni pomen posameznih možnosti v raznih delih pogovornega okna.

Splošno

Ime za pravilo naj bo definirano v vnosnem polju :guilabel:‘Ime pravila‘ najprej. Ime se pozneje uporabi za identifikacijo pravila in je prikazano na seznamu pravil. Za namene dokumentacije lahko v vnosno polje :guilabel:`Opis pravila‘ dodate dodatni opis.

The option Always process rule and ignore conditions causes the conditions set below not to be examined for rule processing and the set action is always executed. This particularly useful for fallback rules at the bottom of the rules list, where you can specify that the logged on user is asked for permission if no other rules apply.

Uporabite lahko možnost Invert all conditions, da ugotovite, ali so vsi aktivirani pogoji obrnjeni pred vrednotenjem, kar pomeni, da aktivirani pogoji ne smejo veljati. Na primer, če je vključen pogoj Noben uporabnik ni prijavljen, pravilo velja le, če je prijavljen eden ali več uporabnikov. Če je pogoj konfiguriran tako, da mora biti uporabnik član določene skupine, se pravilo uporablja le, če je navedeni uporabnik ni član skupine.

Pogoji

Za obdelavo pravila je treba uporabiti enega ali več pogojev.

Uporabnik je član skupine
S tem pogojem lahko določite, da mora biti bodisi dostopanje ali lokalno prijavljeni uporabnik član posebne skupine. Izberete lahko želeno skupino. Če ne morete izbrati nobene ali samo napačne skupine, bo morda treba prilagoditi funkcijo Ozadje uporabniške skupine pod splošnimi nastavitvami za Nadzor dostopa do računalnika.
Računalnik se nahaja na
S tem pogojem lahko določite, da mora biti dostop do lokalnega računalnika lociran na določeni lokaciji. Izberete lahko želeno lokacijo. Če ni mogoče izbrati nobenih ali samo napačne lokacije, je treba prilagoditi Imenik omrežnih objektov.
Dostop do računalnika in lokalni računalnik sta na isti lokaciji
S tem pogojem lahko ugotovite, da morata biti računalnik za dostop in lokalni računalnik locirana na isti lokaciji. To se lahko na primer uporabi za preprečevanje dostopa učiteljem do računalnikov v različnih razredih.
Dostopni računalnik je lokalni gostitelj
Če je ta pogoj omogočen, se pravilo uporablja le, če je računalnik dostopen kot lokalni računalnik. To na primer zagotavlja, da lahko učitelji dostopajo do lokalne storitve Veyon. Ta dostop je potreben, da Veyon Master izvede določene funkcije prek storitve Veyon (npr. strežnik za demo način).
Dostopni uporabnik ima eno ali več skupnin, skupnih z lokalnim (prijavljenim) uporabnikom
S tem pogojem lahko določite, da morajo biti dostop in lokalni uporabniki člani vsaj ene skupne skupine, na primer uporabniške skupine za razred ali seminar.
Dostopni uporabnik je prijavljen na uporabnik
Kot alternativa pogoju dostop do računalnika je localhost lahko uporabniku omogočite tudi dostop do svojih sej. Ta pogoj mora biti v ta namen aktiviran.
Dostopni uporabnik je že povezan
V povezavi s pogojem Dostop do računalnika in lokalnega računalnika sta na istem mestu lahko ustvarite razširjen nabor pravil, ki omogočajo dostop do računalnika na drugih lokacijah pod določenimi pogoji. To vključuje možnost dostopa do računalnika, če je uporabnik že dostopen. Na primer, če se učitelj prijavi v računalnik učitelja v sobi A in B hkrati in prikaže računalnike v sobi B, prikazane v Veyon Master, imajo računalniki v sobi B povezavo učitelja. Nato lahko učitelj dostopa tudi v sobo B iz Veyon Master v sobi A, če se ta pogoj aktivira z dovoljenim dejanjem.
Uporabnik ni prijavljen na
Ta pogoj določa, kako dostopati do računalnika, ko ni prijavljen noben uporabnik. Za lažje upravljanje računalnika je lahko koristno, da lahko vedno dostopate do računalnika, ko ni prijavljen noben uporabnik.

Dejanje

Če veljajo vsi omogočeni pogoji pravila, se izvede določen postopek v zvezi z dostopom do računalnika. To dejanje lahko definirate v razdelku Action:

Dovoli dostop
Dostop do računalnika je dovoljen in nadaljnja pravila niso obdelana. Če je v spodnjem seznamu pravil pravilo, ki bi zavrnilo dostop, je dostop še vedno dovoljen. S tem dejanjem mora biti vsaj eno pravilo.
Prepovej dostop
Dostop do računalnika je zavrnjen in nadaljnja pravila niso obdelana. Če v spodnjem seznamu pravil obstaja pravilo, ki omogoča dostop, je dostop še vedno zavrnjen.
Vprašaj prijavljenega uporabnika za dovoljenje
To dejanje prikaže pogovorno okno v računalniku, ki omogoča prijavljenemu uporabniku, da izbere, ali naj dovoli ali zavrne dostop. Nadaljnja pravila se ne obdelujejo ne glede na odločitev uporabnika.
Brez (pravila onemogočena)
S tem ukrepom se pravilo ne upošteva. Nadzor dostopa se nadaljuje z obdelavo naslednjega pravila. To možnost lahko uporabite za ustvarjanje nedejavnega vnosa spremenljivke za vizualno razdelitev seznama pravil.

S klikom na gumb V redu se sprejme pravilo in sprejete spremembe, pogovorno okno pa se zapre.

Razvrščanje pravil

Pomembno

Opredeljena pravila za nadzor dostopa se obdelajo eden za drugim v vrstnem redu seznama. Dejanje prvega ujemajočega pravila se izvede, tudi če se bodo uporabila tudi naslednja pravila, ki vodijo do drugačnega dejanja.

Vsa pravila je mogoče preurediti preko gumbov s simboli s puščicami. Pravila, ki bi morala temeljito preprečevati ali dovoljevati dostop na podlagi določenih meril, bi morala biti čim višje. Spodaj lahko sledijo pravila, ki urejajo posebne primere. Pravila za izvajanje nadomestnega vedenja morajo biti na dnu.

Logično združevanje pravil

Če je v pravilu aktivirano več pogojev, mora vsako pravilo, ki naj se uporabi (logično AND), veljati. Če velja samo eno od več pravil (logični OR), je treba določiti več pravil za nadzor dostopa.

With basic knowledge of Boolean algebra, the option Invert all conditions can be used as negation operator in conjunction with inverted actions to model extended scenarios. For example, if a user must be a member of two specific groups to allow access to a computer, two separate rules can be created that deny access, if the user is not a member of either group.

Opomba

Če ni ustreznega pravila za nadzor dostopa, tako da veljajo vsi aktivirani pogoji, je dostop zavrnjen in povezava je zaprta. To prepreči, da bi napadalec imel naključno dovoljen dostop zaradi nepopolnega nabora pravil.

Testiranje nabora pravil

V razdelku Nadzor dostopa do računalnika lahko nastavljen nabor pravilnikov preverite z različnimi scenariji z uporabo gumba Test. V pogovornem oknu za testiranje lahko vnesete parametre za simulacijo scenarija. Z gumbom V redu se pravila obdelajo z danimi parametri in prikaže se sporočilo s testnim rezultatom.