Nachdem nun alle physischen ENC-Infrastrukturknoten normal arbeiten, betrachten wir das Betriebsverhalten des virtuellen ENC-Netzwerks. Im Standardzustand werden keine Verbindungen oder Namensabfragen über das Netzwerk zugelassen, es sei denn, es sind explizite Zugriffssteuerungseinträge vorhanden, die dies zulassen. Auch bei Computern, die innerhalb einer Bereichszuordnung zusammengefasst wurden, wird nicht automatisch zugelassen, dass sie sich gegenseitig sehen oder eine Verbindung miteinander herstellen können.
Wenn die Kommunikation von einem ENC-Agentenknoten mit einem anderen ENC-Agentenknoten ermöglicht werden soll, findet als erster Vorgang in der Regel ein Namensabfrage-Ereignis statt. In den meisten Fällen ist nur ein registrierter Computer mit dem entsprechenden Namen vorhanden, und dieser befindet sich in der Regel im selben Bereich wie der anfordernde Computer, so dass für ihn eine umfassende Zugriffssteuerungsregel gilt, die allen ENC-Knoten innerhalb eines bestimmten Bereichs ermöglicht, mit anderen Mitgliedern seines Bereichs in Kontakt zu treten und Abfragen für sie durchzuführen. In seltenen Fällen können zwei oder mehr Computer mit demselben vollständig qualifizierten Namen vorhanden sein. In diesem Fall muss die Namensabfrage eindeutig gemacht werden, indem sichergestellt wird, dass nur Verweise auf Computer entfernt werden können, die sich innerhalb desselben Bereichs (bzw. Bereiche) befinden wie das anfordernde Objekt. Dies soll sicherstellen, dass kein unbeabsichtigter Datenaustausch zwischen Bereichen auftreten kann, sofern dies nicht explizit durch eine Zugriffsregel zugelassen wird.
Wenn die Autorisierungskomponente die Anforderung für die Namensabfrage zulässt, wird die IP-Adresse des virtuellen ENC-Hosts an den ENC-Client-Agenten zurückgegeben. Der ENC-Client gibt anschließend eine Agentenverbindungsanforderung an den ENC-Gateway-Server/-Manager aus. Der ENC-Gateway-Manager fragt wieder die gesicherte Identität ab, die der Adresse dieser Anforderung zugeordnet ist, und ruft das Autorisierungssystem auf, damit dieses den auszuführenden Vorgang genehmigt.
Wenn die Genehmigung für die Verbindung erteilt wird, stellen beide Agenten – die Peers der virtuellen Kommunikationsverbindungen – eine Verbindung zu ENC-Gateway-Routern her, um die Verbindung fertig zu stellen. Diese Verbindung wird wieder authentifiziert, und die Autorisierung zum Zugriff auf den Router wird angefordert.
|
Copyright © 2014 CA Technologies.
Alle Rechte vorbehalten.
|
|