Pravila kotrole pristupa

Uvod

Pravila kontrole pristupa mogu se koristiti za pružanje potpune detaljne kontrole koji korisnici mogu da pristupe određenim kompjuterima pod određenim okolnostima. U nastavku se izraz rule koristi kao sinonim za access control rule.

Kada korisnik pokušava pristupiti kompjuteru, definisana pravila kontrole pristupa obrađuju se jedno za drugim sve dok se ne primene svi uslovi pravila. Čim se primene svi aktivirani uslovi pravila, daljnja pravila se ne obrađuju i pohranjena radnja se izvršava (izuzetak: pravilo je onemogućeno).

Pravila se mogu konfigurisati putem Veion Configurator-a na konfiguracijskoj stranici: ref: ConfAccessControl u odeljku: guilabel:` Pravila kontrole pristupa`. Lista pravila je podrazumevano prazna. U ovom slučaju su svi pokušaji pristupa odbijeni jer ne postoji pravilo koje izričito dozvoljava pristup. To znači da se mora definisati barem jedno pravilo koje omogućava pristup pod određenim uslovima.

Dodaj i promeni pravila

Nakon klika na dugme: guilabel: + otvara se dijalog koji omogućava kreiranje novog pravila. Postojeća pravila se mogu otvoriti ili urediti dvostrukim klikom na njih ili klikom na dugme sa simbolom olovke.

Pravilo se u osnovi sastoji od opštih postavki, uslova i radnje koja se izvršava kada se primenjuju svi uslovi. Dijalog je podeljen u tri dela. Značenja pojedinih opcija u različitim odeljcima dijaloga objašnjena su u nastavku.

Opšte

Naziv pravila treba da bude definisan u polju za unos Rule name prvo. Ime se kasnije koristi za identifikaciju pravila i prikazuje se u listi pravila. Za potrebe dokumentacije opcionalni opis može se dodati u polje za unos Rule description.

Opcija :guilabel: „Uvek obrađuj pravilo i ignoriši uslove“ uzrokuje da se dole navedeni uslovi ne pregledaju za obradu pravila i zadata radnja je uvek izvršena. Ovo je posebno korisno za rezervna pravila na dnu liste pravila, gde možete navesti da se prijavljeni korisnik traži dozvolu ako se ne primjenjuju druga pravila.

Možete da koristite opciju :guilabel: Invert all conditions da biste utvrdili da su svi aktivirani uslovi preokrenuti pre procene, što znači da aktivirani uslovi ne smeju da važe. Na primer, ako je uslov Korisnik nije prijavljen aktiviran, pravilo se primenjuje samo ako je jedan ili više korisnika prijavljeno. Ako je uslov konfigurisan tako da korisnik mora biti član određene grupe, pravilo se primjenjuje samo ako je navedeni korisnik nije član grupe.

Uslovi

Da bi se neko pravilo obradilo, mora se primeniti jedan ili više uslova.

Korisnik je član grupe
Uz ovaj uvjet možete definisati da korisnik ili korisnik koji je lokalno prijavljen moraju biti članovi određene grupe. Može se izabrati željena grupa. Ako se ne mogu izabrati nijedna ili samo pogrešne grupe, Pomoćne korisničke grupe pod opštim podešavanjima za: ref: ComputerAccessControl možda će biti potrebno podesiti.
Računar se nalazi na
Uz ovaj uslov možete definisati da se ili pristupni ili se lokalni kompjuter mora nalaziti na određenoj lokaciji. Željena lokacija može biti izabrana. Ako se ne mogu odabrati nijedne ili samo pogrešne lokacije, mora se prilagoditi: ref: RefNetvorkObjectDirectori.
Pristupni računar i lokalni računar su na istoj lokaciji
Uz ovaj uslov možete odrediti da se kompjuter koji pristupa i lokalni kompjuter mora biti smješten na istoj lokaciji. Ovo se, na primer, može koristiti za sprečavanje nastavnika da pristupe kompjuterima u različitim učionicama.
Pristup kompjuteru je lokalni
Ako je ovo stanje omogućeno, pravilo se primenjuje samo ako je računar kojem se pristupa lokalni računar. Ovo osigurava, na primer, da nastavnici mogu da pristupe lokalnom Veyon Service. Ovaj pristup je potreban da bi Veyon Master izvršio određene funkcije putem Veyon Service (npr. server za demo režim).
Korisnik koji ima pristup ima jednu ili više grupa zajedničkih s lokalnim (prijavljenim) korisnikom
Možete koristiti ovaj uslov da odredite da pristupni i lokalni korisnik moraju biti članovi najmanje jedne zajedničke grupe, na primer korisničke grupe za predavanje ili seminar.
Pristupni korisnik je prijavljen
Kao alternativa stanju accessing computer is localhost, možete takođe dozvoliti korisniku pristup sopstvenim sesijama. Ovaj uslov mora biti aktiviran u tu svrhu.
Pristupni korisnik je već povezan
Zajedno sa uslovom Accessing computer and local computer are at the same location može se kreirati prošireni skup pravila koji omogućava pristup računaru na drugim lokacijama pod određenim uslovima. Ovo uključuje mogućnost pristupa računaru ako je korisnik koji je pristupio već povezan. Na primer, ako se nastavnik istovremeno prijavi na učiteljski računar u sobi A i B istovremeno i prikaže računare sobe B prikazane u Veyon Master-u, računari u sobi B imaju vezu sa nastavnikom. Tada nastavnik može pristupiti i sobi B iz Veyon Master-a u sobi A ako se ovaj uslov aktivira sa dozvoljenom akcijom.
Nijedan korisnik nije prijavljen
Ovaj uslov određuje kako se računaru može pristupiti ako nijedan korisnik nije prijavljen. Radi lakše administriranja računara, može biti korisno da uvek možete da pristupite računaru kada nijedan korisnik nije prijavljen.

Akcija

Ako se primenjuju svi omogućeni uslovi nekog pravila, izvodi se određena radnja u vezi s pristupom računaru. Možete definisati ovu radnju u odeljku :guilabel: `Action ’:

Dozvoli pristup
Pristup računaru je dozvoljen i daljnja pravila se ne obrađuju. Ako na donjem spisku pravila postoji neko pravilo koje bi zabranilo pristup, pristup je i dalje dozvoljen. Mora postojati barem jedno pravilo kod ove akcije.
Odbi pristup
Pristup računaru je uskraćen i daljnja pravila se ne obrađuju. Ako na donjem spisku pravila postoji neko pravilo koje bi omogućilo pristup, pristup je i dalje onemogućen.
Pitajte prijavljenog korisnika za dozvolu
Ova radnja prikazuje dijalog na računaru koji omogućava prijavljenom korisniku da odabere da li će dozvoliti ili odbiti pristup. Daljnja pravila se ne obrađuju bez obzira na odluku korisnika.
Nema (pravilo onemogućeno)
Ovom radnjom se pravilo ignoriše. Kontrola pristupa će se nastaviti obradom sledećeg pravila. Ova opcija se može koristiti za kreiranje neaktivnog lažnog unosa za vizuelnu podelu liste pravila.

Klikom na dugme :guilabel: OK pravilo i promene su prihvaćene i dijalog je zatvoren.

Pravila sortiranja

Important

Definisana pravila kontrole pristupa obrađuju se jedno za drugim redosledom liste. Akcija prvog podudarnog pravila se izvršava, čak i ako bi se primenila naknadna pravila i dovela do druge radnje.

Sva pravila se mogu presložiti preko tastera sa simbolima strelice. Pravila koja bi u osnovi trebalo da spreče ili omoguće pristup na osnovu određenih kriterijuma treba postaviti prva u nizu. Pravila koja pokrivaju posebne slučajeve mogu se pridodati u nastavku. Pravila za sprovođenje rezervnog ponašanja trebaju biti na dnu.

Logično spajanje pravila

Ako je u pravilu aktivirano više uslova, each uslov mora da se prijavi da bi se pravilo primenjivalo (logičko I). Ako treba primeniti samo jedno od nekoliko pravila (logičko ILI), mora se definisati nekoliko pravila kontrole pristupa.

Uz osnovno poznavanje Boolean algebra-logičke algebre, opcija Invert all conditions može se koristiti kao operator negacije u kombinaciji sa invertiranim akcijama za modeliranje proširenih scenarija. Na primer, ako korisnik mora biti član dve određene grupe da bi omogućio pristup računaru, mogu se stvoriti dva odvojena pravila koja uskraćuju pristup, ako korisnik, not, nije član ni jedne grupe.

Note

Ako ne postoji odgovarajuće pravilo kontrole pristupa tako da se primenjuju svi aktivirani uslovi, pristup je odbijen i veza je zatvorena. Ovo sprečava da napadaču ne bude slučajno dozvoljen pristup zbog nepotpunog skupa pravila.

Skup pravila testiranja

U odeljku Computer access control, konfigurisani skup pravila može se proveriti sa različitim scenarijima pomoću Test tastera. U testnom dijalogu možete unijeti parametre za simuliranje scenarija. Pomoću dugmeta OK pravila se obrađuju sa datim parametrima i prikazuje se poruka sa rezultatom testa.