Åtkomstregler

Introduktion

Regler för åtkomstkontroll kan användas för att ge detaljerad kontroll över vilka användare som kan få åtkomst till specifika datorer under specifika omständigheter. I det följande används termen regel som en synonym till åtkomstkontrollregel.

När en användare försöker få åtkomst till en dator behandlas de definierade reglerna för åtkomstkontroll en efter en tills alla villkor i en regel är uppfyllda. Så snart alla aktiverade villkor i en regel gäller, bearbetas inga ytterligare regler och den lagrade åtgärden utförs (undantag: regeln är inaktiverad).

Reglerna kan konfigureras via Veyon Configurator på konfigurationssidan Åtkomstkontroll i avsnittet Regler för åtkomstkontroll. Regellistan är tom som standard. I det här fallet nekas alla åtkomstförsök eftersom det inte finns någon regel som uttryckligen tillåter åtkomst. Detta innebär att minst en regel måste definieras som tillåter åtkomst under vissa villkor.

Lägga till och ändra regler

När du klickar på knappen + öppnas en dialogruta som gör det möjligt att skapa en ny regel. Befintliga regler kan öppnas eller redigeras genom att dubbelklicka på dem eller genom att klicka på knappen med pennsymbolen.

En regel består i princip av allmänna inställningar, villkor och en åtgärd som utförs när alla villkor är uppfyllda. Dialogrutan är indelad i tre avsnitt. Nedan förklaras betydelsen av de enskilda alternativen i de olika dialogavsnitten.

Allmänt

Ett namn för regeln bör först anges i inmatningsfältet Regelnamn. Namnet används senare för att identifiera regeln och visas i regellistan. För dokumentationsändamål kan en valfri beskrivning läggas till i inmatningsfältet Rule description.

Alternativet Alltid bearbeta regel och ignorera villkor gör att de villkor som anges nedan inte undersöks för regelbearbetning och att den angivna åtgärden alltid utförs. Detta är särskilt användbart för reservregler längst ned i regellistan, där du kan ange att den inloggade användaren ska tillfrågas om tillstånd om inga andra regler gäller.

Du kan använda alternativet Invert all conditions för att bestämma att alla aktiverade villkor ska inverteras före utvärderingen, vilket innebär att aktiverade villkor inte får gälla. Om t.ex. villkoret Ingen användare inloggad är aktiverat gäller regeln bara om en eller flera användare är inloggade. Om ett villkor är konfigurerat så att en användare måste vara medlem i en viss grupp, gäller regeln endast om den nämnda användaren inte är medlem i gruppen.

Villkor

För att en regel ska kunna behandlas måste ett eller flera villkor vara uppfyllda.

Användaren är medlem i gruppen: Du kan använda detta villkor för att ange att antingen den som får åtkomst eller den som är lokalt inloggad måste vara medlem i en specifik grupp. Den önskade gruppen kan väljas. Om inga eller endast felaktiga grupper kan väljas kan det vara nödvändigt att justera Användargrupper-backend under de allmänna inställningarna för Datoråtkomstskontroll. Alternativt kan ett reguljärt uttryck anges för att kontrollera åtkomst från eller till vissa grupper vars namn matchar ett visst mönster, t.ex. /Class 20\d\d-\d\d/ för klassgrupperna 20NN-NN.
Datorn är placerad på: Med detta villkor kan du ange att antingen den dator som ansluter eller den lokala datorn måste befinna sig på en specifik plats. Du kan välja önskad plats. Om inga eller endast felaktiga platser kan väljas måste Katalog över nätverksobjekt justeras. Alternativt kan du ange ett reguljärt uttryck för att kontrollera åtkomst från eller till flera platser vars namn matchar ett visst mönster.
Åtkomstdatorn och den lokala datorn befinner sig på samma plats: Du kan använda detta villkor för att ange att den dator som används för åtkomst och den lokala datorn måste befinna sig på samma plats. Detta kan till exempel användas för att förhindra att lärare får åtkomst till datorer utanför sitt eget klassrum.

Åtkomstdator är localhost: Om det här villkoret är aktiverat gäller regeln endast om den åtkomliga datorn är den lokala datorn. Detta säkerställer t.ex. att lärare kan få åtkomst till den lokala Veyon-tjänsten. Denna åtkomst är nödvändig för att Veyon Master ska kunna utföra specifika funktioner via Veyon Service (t.ex. servern för demoläge).
Åtkomstanvändaren har en eller flera grupper gemensamt med lokal (inloggad) användare: Du kan använda det här villkoret för att ange att den åtkomliga och den lokala användaren måste vara medlemmar i minst en gemensam grupp, t.ex. en användargrupp för en klass eller ett seminarium.
Åtkomstanvändare är inloggad användare: Som ett alternativ till villkoret åtkomstdatorn är localhost kan du också tillåta en användare att få åtkomst till sina egna sessioner. Detta villkor måste aktiveras för detta ändamål.
Åtkomstanvändare är redan ansluten: I kombination med villkoret Datorn som ger åtkomst och den lokala datorn finns på samma plats kan ett utökat regelverk skapas som ger åtkomst till datorer på andra platser under vissa förutsättningar. Detta inkluderar möjligheten att få åtkomst till en dator om den åtkomliga användaren redan är ansluten. Om läraren t.ex. loggar in på en lärardator i rum A och B samtidigt och visar datorerna i rum B i Veyon Master, har datorerna i rum B en anslutning från läraren. Då kan läraren också komma åt rum B från Veyon Master i rum A om detta villkor aktiveras med en tillåtande åtgärd.
Ingen användare inloggad: Detta villkor avgör hur en dator kan nås när ingen användare är inloggad. För att underlätta administrationen av datorn kan det vara bra att alltid kunna komma åt en dator när ingen användare är inloggad.
Den lokala datorn är redan tillgänglig: Om detta villkor är aktiverat träder regeln i kraft om det redan finns minst en anslutning till den lokala Veyon-tjänsten. Detta kan till exempel användas för att förhindra parallell åtkomst till en dator.

Åtgärd

Om alla aktiverade villkor i en regel gäller utförs en specifik åtgärd med avseende på datoråtkomst. Du kan definiera denna åtgärd i avsnitt Action:

Bevilja åtkomst: Åtkomst till en dator är tillåten och ytterligare regler behandlas inte. Om det finns en regel i regellistan nedan som skulle neka åtkomst, är åtkomst ändå tillåten. Det måste finnas minst en regel med denna åtgärd.

Neka åtkomst: Åtkomst till en dator nekas och ytterligare regler behandlas inte. Om det finns en regel i regellistan nedan som skulle tillåta åtkomst, nekas åtkomst ändå.

Fråga inloggad användare om tillstånd: Denna åtgärd visar en dialogruta på datorn som låter den inloggade användaren välja om åtkomst ska tillåtas eller nekas. Inga ytterligare regler bearbetas oavsett användarens beslut.
Inga (regel inaktiverad): Denna åtgärd gör att regeln ignoreras. Tillträdeskontrollen fortsätter genom att nästa regel bearbetas. Det här alternativet kan användas för att skapa en inaktiv dummy-post för att visuellt dela upp regellistan.

Genom att klicka på knappen OK accepteras regeln och de ändringar som gjorts och dialogrutan stängs.

Regler för sortering

Viktigt

De definierade reglerna för åtkomstkontroll behandlas en efter en i listans ordning. Åtgärden för den första matchande regeln utförs, även om efterföljande regler också skulle gälla och leda till en annan åtgärd.

Alla regler kan ordnas om med hjälp av knapparna med pilsymbolerna. Regler som i princip ska förhindra eller tillåta åtkomst baserat på vissa kriterier bör placeras så högt upp som möjligt. Regler för att täcka specialfall kan följa nedanför. Regler för implementering av fallback-beteende bör placeras längst ned.

Logisk sammankoppling av regler

Om mer än ett villkor aktiveras i en regel måste varje villkor gälla för att regeln ska tillämpas (logiskt AND). Om endast en av flera regler ska tillämpas (logisk OR) måste flera regler för åtkomstkontroll definieras.

Med grundläggande kunskaper i boolesk algebra kan alternativet Invert all conditions användas som negationsoperator i kombination med inverterade åtgärder för att modellera utökade scenarier. Om en användare t.ex. måste vara medlem i två specifika grupper för att få tillgång till en dator, kan två separata regler skapas som nekar åtkomst om användaren inte är medlem i någon av grupperna.

Observera

Om det inte finns någon matchande regel för åtkomstkontroll så att alla aktiverade villkor gäller nekas åtkomst och anslutningen stängs. Detta förhindrar att en angripare av misstag tillåts åtkomst på grund av en ofullständig regeluppsättning.

Testa en regeluppsättning

I avsnittet Computer access control kan den konfigurerade regeluppsättningen kontrolleras med olika scenarier med hjälp av knappen Test. I testdialogrutan kan du ange parametrar för att simulera ett scenario. Med knappen OK bearbetas reglerna med de angivna parametrarna och ett meddelande med testresultatet visas.