In der Konfigurationsansicht "ENC-Autorisierungsregeln" können Sie ENC-Tabellen und den ihnen zugeordneten Inhalt anzeigen und bearbeiten. Die ENC-Autorisierungskomponente verwendet diese Tabellen, um Berechtigungen und die Zugriffssteuerung für die gesamte Kommunikation und alle Vorgänge in der ENC-Umgebung zu erzwingen.
Hinweis: Im Gegensatz zu anderen Richtliniengruppen gibt es vom Editor für Konfigurationsrichtlinien, d. h. den dynamischen Dialogfeldern "Eigenschaften von Einstellung" und "Eigenschaften ändern", keinen direkten Zugriff auf die zugrunde liegenden ENC-Autorisierungstabellen. Sie müssen daher die Konfigurationsansicht "ENC-Autorisierungsregeln" verwenden, die Abhängigkeiten zwischen Tabellen verarbeiten kann und eine Vorab-Evaluierung der angegebenen Regeln durchführt.
Diese Ansicht besteht aus dem Hauptdialogfeld "ENC-Autorisierungsregeln" mit fünf Registerkarten – jeweils eine für die Konfigurationsrichtlinien, die folgenden Tabellen zugeordnet sind:
Diese Tabelle definiert die verwendeten Bereiche in der ENC-Infrastruktur. Die anderen Tabellen verwenden Querverweise auf diese Tabelle, wenn ein Bereich als ein Sicherheitsprinzipal oder ein gesichertes Objekt ausgewählt wird. In die Tabelle können ein Name und eine Reihe optionaler Anmerkungen über den Bereichseintrag eingegeben werden.
Diese Tabelle definiert die Sicherheitsobjekte (Prinzipale), die bestimmten Bereichen zugeordnet sind. Jeder Eintrag kann für betriebliche Zwecke als aktiviert oder deaktiviert markiert werden.
Bei der Namenszuordnung (URI) definiert diese Tabelle die authentifizierten Objekte, die einem bestimmten Bereich zugeordnet sind. Der Typ kann entweder eine "Genaue Übereinstimmung" sein, d. h. die URI wird vollständig angegeben, oder eine "Musterübereinstimmung", bei der ein regulärer Ausdruck zur Definition eines Musters für die Übereinstimmung verwendet wird. In den meisten Fällen ist eine Musterübereinstimmung am besten geeignet, da die Identitätszertifikate für eine Organisation oder organisatorische Einheit ausgegeben werden, die eindeutig identifizierbar sind.
Hinweis: ENC verwendet Perl-kompatible reguläre Ausdrücke (PCRE) für die Musterübereinstimmung. Weitere Informationen finden Sie auf der Website http://www.pcre.org.
Alle Zugriffssteuerungseinträge (ACEs) können zu einer bestimmten Uhrzeit, einem bestimmten Datum oder einem bestimmten Datumsbereich aktiviert oder deaktiviert werden. In dieser Tabelle können Sie die Zeitbereiche definieren, die Ihren Anforderungen entsprechen. Beispielsweise können Sie als Zeitbereich für eine Arbeitswoche "09:00-17:00", "Normale Wochentage" und "Montag bis Freitag" wählen.
Sie haben außerdem die Möglichkeit, den Zugriff an bestimmten Tagen, z. B. Feiertagen, zu sperren, um Wartungsarbeiten durchzuführen. In diesem Fall müssen Sie die Option "Spezielle Daten" auswählen und das Jahr, den Monat und den Tag eingeben. In all diesen Feldern dient die Ziffer "0" (Null) als Platzhalterzeichen, d. h, 0/7/4 (J/M/T) würde dem 4. Juli in allen Jahren entsprechen.
Diese Tabelle definiert die zeitbasierten Zugriffssteuerungseinträge (TACEs) und ist allgemein als zeitbasierte Zugriffssteuerungsliste (TACL) bekannt. Ein TACE ist die Regel, die den Zugriff von einem Sicherheitsprinzipal auf ein gesichertes Objekt für einen oder mehrere angegebene Vorgänge (Ereignisse) steuert. Jeder Eintrag kann einzeln aktiviert oder deaktiviert werden.
Der Sicherheitsprinzipal kann so definiert werden, dass er eine genaue Übereinstimmung einer URI verwendet, wenn eine exakte Übereinstimmung gewünscht ist, eine URI-Musterübereinstimmung, die etwas ungenauer sein kann, oder einen vordefinierten Namensbereich, bei dem die Übereinstimmung am geringsten ist.
Gleichermaßen kann das gesicherte Objekt eine exakte URI-Übereinstimmung, eine Musterübereinstimmung oder ein vordefinierter Namensbereich sein. Das Feld "Zeitbereich" (mit Querverweis auf die Zeitbereichstabelle) legt fest, wann diese Regel aktiv ist. Das Feld "Zugriffstyp" legt fest, ob diese Regel zum Verweigern oder Gewähren des Zugriffs verwendet werden soll. Regeln des Typs "Verweigern" werden vor den Regeln des Typs "Zulassen" geprüft.
Im Feld "Name" wird der Name der Regel eingegeben. Dabei kann ein Kurzname oder ähnliches verwendet werden, der Name muss in der Liste jedoch eindeutig sein. So kann das Auditing der Regelanwendung eindeutig aufgezeichnet werden.
Diese Tabelle definiert eine weiße Liste der IP-Adressen oder IP-Adressbereiche, die zum Herstellen einer Übertragungsverbindung mit den ENC-Gateway-Infrastrukturcomputern verwendet werden dürfen. Die IP-Adressen können explizit, also vollständig (Genaue Übereinstimmung), oder als regulärer Ausdruck (Musterübereinstimmung) für IP-Adressbereiche angegeben werden.
Hinweis: Einen umfassenderen Überblick über die Bedingungen und die Verwendung der Autorisierung in der ENC-Umgebung finden Sie außerdem im Implementierungshandbuch.
Führen Sie folgende grundlegenden Schritte zur Verwendung der Konfigurationsansicht "ENC-Autorisierungsregeln" aus:
Wenn keine Autorisierungsregeln konfiguriert sind, damit ein bestimmtes Ereignis ausgeführt werden kann, wird diesem Ereignis der Zugriff verweigert. Beachten Sie, dass anfänglich keine Regeln definiert sind, und somit jeder Zugriff verweigert wird.
|
Copyright © 2014 CA Technologies.
Alle Rechte vorbehalten.
|
|