Правила керування доступом

Вступ

Правилами керування доступом можна скористатися для точного визначення, які з користувачів матимуть доступ до визначених комп’ютерів за визначених обставин. Надалі, термін «правило» використовуватиметься як синонім словосполучення правило керування доступом.

Коли певний користувач намагається отримати доступ до комп’ютера, визначені правила керування доступом буде оброблено одне за одним, аж доки не буде застосовано усі умови правила. Якщо буде виконано усі активовані умови правила, подальші правила не оброблятимуться, і буде виконано збережену дію (виключенням є випадок, коли правило вимкнено).

Правила можна налаштувати за допомогою засобу налаштовування Veyon на сторінці налаштувань Керування доступом у розділі Access control rules. Типово, список правил є порожнім. У такому випадку в усіх спроба отримання доступу буде відмовлено, оскільки не існуватиме правила, яке явним чином дозволятиме доступ. Це означає, що має бути визначено принаймні одне правила, яка дозволяє доступ за певних обставин.

Додавання правил і внесення змін до правил

Якщо ви натиснете кнопку +, програма відкриє діалогове вікно, за допомогою якого можна буде створити правило доступу. Наявні правила може бути відкрито або редаговано після подвійного клацання на відповідних пунктах або натискання кнопки із зображенням ручки.

В основному, правило складається з загальних параметрів, умов та дії, яку буде виконано, якщо виконуватиметься умова. Діалогове вікно поділено на три розділи. Призначенням окремих параметрів у різноманітних розділах діалогового вікна описано нижче.

Загальні

Спочатку слід вказати назву правила у полі для введення даних Назва правила. Назву пізніше буде використано для ідентифікації правила і показано у списку правил. З метою документування може бути визначено необов’язковий опис у полі для введення даних Опис правила.

Якщо буде позначено пункт Завжди обробляти правило і ігнорувати умови, встановлені нижче умови не перевірятимуться при обробці правила — завжди виконуватиметься встановлена дія. Це, зокрема, корисно для резервних правил, які перебувають наприкінці списку правил. У таких правилах ви можете визначити, що програмі слід запитати користувача, який увійшов до системи, щодо дозволу, якщо ніякі інші правила не є застосовними.

Ви можете скористатися пунктом Інверсія усіх умов, щоб визначити, що усі активовані умови має бути обернено до оцінки відповідності, тобто визначити, що активовані умови не повинні виконуватися. Наприклад, якщо активовано умову Немає користувачів у системі, правило буде застосовано, лише якщо до системи увійшов один або декілька користувачів. Якщо умову налаштовано так, що користувач має бути учасником певної групи, правило буде застосовано, лише якщо відповідний користувач не є учасником цієї групи.

Умови

Щоб правило було оброблено, має виконуватися одна або декілька умов.

Користувач є учасником групи
За допомогою цієї умови ви можете визначити, чи має бути користувач, який намагається отримати доступ, або користувач, який увійшов до системи, учасником вказаної групи. Можна вибрати бажану групу. Якщо у списку немає ніяких пунктів груп або жодна з груп не є відповідною, вам слід скоригувати параметри Модуля груп користувачів у загальних параметрах Керування доступом до комп’ютерів.
Комп’ютер розташовано у
За допомогою цієї умови ви можете визначити, що комп’ютер, до якого користувач намагається отримати доступ, або локальний комп’ютер має бути розташовано у вказаному місці. Ви можете вибрати бажане місце. Якщо у списку немає жодного запису місця або немає потрібних вам місць, вам слід скоригувати параметри Каталог мережевих об’єктів.
Комп’ютер для доступу розташовано у тому самому місці, що і локальний комп’ютер
За допомогою цієї умови ви можете визначити, що комп’ютер, до якого користувач намагається отримати доступ, і локальний комп’ютер має бути розташовано у однаковому місці. За допомогою такої умови можна, наприклад, заборонити викладачам отримувати доступ до комп’ютерів у інших класах.
Комп’ютер для доступу є локальним
Якщо увімкнено цю умову, правило буде застосовано, лише якщо комп’ютер, який намагається отримати доступ, є локальним комп’ютером. Таким чином можна забезпечити можливість доступу викладачів до локальної служби Veyon. Такий доступ є необхідним для того, щоб Veyon Master міг виконувати специфічні функції за допомогою служби Veyon (наприклад функції сервера у режимі демонстрації).
Користувач для доступу є учасником однієї або декількох груп, які є спільними із локальним (поточним) користувачем
Ви можете скористатися цією умовою для того, щоб визначити, що користувач, який намагається отримати доступ, і локальний користувач мають бути учасниками принаймні однієї спільної групи, наприклад, групи користувачів для класного заняття або семінару.
Користувач для доступу є розпізнаним користувачем системи
Альтернативою до умови комп’ютер, з якого виконується доступ є локальним вузлом може також бути уможливлення для користувача доступу до його власних сеансів. Щоб дозволити такий доступ, слід активувати цю умову.
Користувача для доступу вже з’єднано
У поєднанні із умовою Комп’ютер для доступу розташовано у тому самому місці, що і локальний комп’ютер можна створити розширений набір правил, який уможливлює доступ до комп’ютера з інших місць за певних обставин, включно із можливістю доступу до комп’ютера, якщо користувач, який отримує доступ вже встановив з’єднання із комп’ютером. Наприклад, якщо викладач входить до комп’ютера викладача у класі А і Б одночасно і показує комп’ютери з класу Б, які показано у Veyon Master, комп’ютер викладача з’єднується із комп’ютерами у класі Б. Далі, викладач також може отримувати доступ до класу Б з Veyon Master у класі А, якщо задіяно цю умову із дією «дозволити».
Немає користувачів у системі
За допомогою цієї умови можна визначити спосіб доступу до комп’ютера, якщо у системі не працює жоден користувач. Для полегшення адміністрування комп’ютера може бути корисною можливість доступу до комп’ютера, якщо у його операційній системі не працює жоден користувач.

Дія

Якщо виконуються усі увімкнені умови правила, буде виконано вказану дію з урахуванням доступу до комп’ютера. Ви можете визначити цю дію у розділі Дія:

Дозволити доступ
Буде дозволено доступ до комп’ютера, подальші правила не оброблятимуться. Якщо у списку правил нижче буде правило, яке могло б заборонити доступ, доступ все одно буде надано. Для виконання цієї дії потрібне існування хоча б одного правила.
Заборонити доступ
Буде заборонено доступ до комп’ютера, подальші правила не оброблятимуться. Якщо у списку правил нижче буде правило, яке могло б дозволити доступ, доступ все одно буде заборонено.
Запитувати розпізнаного користувача системи щодо доступу
У результаті виконання цієї дії на комп’ютері, який має дозволити доступ користувачу буде показано діалогове вікно, за допомогою якого він зможе дозволити або заборонити доступ. Подальші правила не оброблятимуться, незалежно від рішення користувача.
Немає (правило вимкнено)
Ця дія означає, що правило буде проігноровано. Керування доступом буде продовжено обробкою наступного правила. Цим варіантом можна скористатися для створення неактивного фіктивного запису для візуального поділу списку правил.

Після натискання кнопки Гаразд правило і зміни вважатимуться підтвердженими, а діалогове вікно буде закрито.

Правила упорядковування

Важливо

Визначені правила керування доступом буде оброблено одне за одним у вказаному списком порядку. Буде виконано дію першого відповідного правила, навіть якщо можна було б застосувати наступні за ним правила, які призвели б до виконання якоїсь іншої дії.

Усі правила можна перевпорядкувати за допомогою кнопок із символами стрілок. Правила, які на фундаментальному рівні забороняють або дозволяють доступ на основі певного критерію слід розташовувати якомога вище. Правила, які стосуються спеціальних випадків, можна розташувати дані. Правила, які реалізують резервні варіанти поведінки, слід розташовувати наприкінці списку.

Логічне поєднання правил

Якщо у правилі активовано декілька умов, для застосування правила має виконуватися усі умови (логічне поєднання «І»). Якщо має бути застосовано лише одне з декількох правил (логічне «АБО»), слід визначити декілька правил керування доступом.

Якщо ви хоч трошки знайомі із булевою алгеброю, за допомогою пункту Інверсія усіх умов, як оператора обернення умови, та обернення дій можна моделювати широкий спектр сценаріїв. Наприклад, якщо користувач має бути учасником двох вказаних груп, щоб йому було надано доступ до комп’ютера, можна створити два окремих правила, які заборонятимуть доступ, якщо користувач не є учасником якоїсь з цих груп.

Примітка

Якщо не виявиться жодного правила керування доступом, для якого виконувалися б усі умови, доступ буде заборонено, а з’єднання буде розірвано. Таким чином, нападник не зможе випадково отримати доступ через неповний набір правил.

Тестування набору правил

За допомогою розділу Керування доступом до комп’ютерів і кнопки Перевірити можна перевірити налаштований набір правил з використанням різноманітних сценаріїв. У діалоговому вікні перевірки ви можете ввести параметри для імітування сценарію. У відповідь на натискання кнопки Гаразд програма обробить задані параметри і виведе повідомлення щодо результатів перевірки.