ENC インフラストラクチャは、認証チェックが必要な操作と同等の一連のイベントを定義します。 これらのイベントのほとんどは、どのセキュリティ プリンシパルが何を誰に対していつ行うことができるかを制御するために、TACE の中で設定できます。 ほとんどの場合、認証コンポーネントがアクセス リクエストを拒否すると、物理的な接続が切断されます。 名前のルックアップおよびエージェントの接続のイベントは、このルールの例外です。
ここで、イベントごとに順番に、簡単に説明します。 それぞれのイベントでは、「保護されたオブジェクト」エントリによって保護されたリソースが定義され、「セキュリティ プリンシパル」エントリによってリクエストを行うリソースが定義されます。
保護されたオブジェクト: 接続を受け取る ENC ノード。
これは、TACE ルール内部で制御されない唯一のイベントなので、操作のターゲットは黙示的になります。 インフラストラクチャへのアクセスはすべて、IP アドレス ホワイト リストによって制御されます。 IP アドレス ホワイト リストの中にリストされているノードまたは IP 範囲のみが ENC インフラストラクチャ ノードに接続できます。 このインスタンス内の保護されたオブジェクトは、常にターゲット ENC ノードです。 ホワイト リストは、現在すべての ENC インフラストラクチャ ノードに適用されます。
保護されたオブジェクト: 接続を許可する ENC ノード。
セキュリティ プリンシパル: 接続された ENC ノードの認証 ID。
すべてのノードは、パートナ ENC ノードへのネットワーク接続を確立した後は、認証を行う必要があります。 このイベントは、認証シーケンスが正常に完了すると生成されます。 許可する ENC ノードは、接続するノードの認証された URI を使用して認可 API を呼び出し、操作が許可されているかを確認します。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: ENC ゲートウェイ マネージャ ノード。
セキュリティ プリンシパル: ENC ゲートウェイ サーバ ノードの認証 ID。
ENC ゲートウェイ サーバは、認証された接続をマネージャに対して正常に確立すると、サーバとして登録されるように要求する登録メッセージを送信します。 その後、ENC ゲートウェイ マネージャは、認可コンポーネントを呼び出してサーバがこのマネージャに登録できるかを確認します。 これは、ENC ゲートウェイ サーバが ENC 仮想ネットワークの中に配置されないようにします。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: リクエストを処理している ENC ゲートウェイ サーバ。
セキュリティ プリンシパル: ENC ゲートウェイ ルータ ノードの認証 ID。
ルータは、認証された接続をサーバに対して正常に確立すると、ルータとして登録されるように要求する登録メッセージも送信します。 ENC ゲートウェイ サーバは、ローカル認証チェックを実行し、この操作が許可されているかどうかを確認した後、さらなる認証のために ENC ゲートウェイ マネージャにリクエストを渡します。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: ENC ゲートウェイ マネージャ ノード。
セキュリティ プリンシパル: ENC ゲートウェイ ルータ ノードの認証 ID。
このイベントは、サーバがルータ登録メッセージを転送するときに生成されます。 ENC ゲートウェイ マネージャは、認可コンポーネントを呼び出してルータが ENC 仮想ネットワークに加わることができるかを確認します。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: リクエストを処理している ENC ゲートウェイ サーバ。
セキュリティ プリンシパル: ENC クライアント ノードの認証 ID。
このイベントは、ENC クライアント ノードが ENC ゲートウェイ サーバ ノードに登録すると生成されます。 サーバは、ローカル認証チェックを実行し、信頼できる答えを得るために ENC ゲートウェイ マネージャに登録リクエストを渡します。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: ENC ゲートウェイ マネージャ ノード。
セキュリティ プリンシパル: ENC クライアント ノードの認証 ID。
このイベントは、ENC ゲートウェイ サーバ ノードが ENC クライアント登録メッセージを ENC ゲートウェイ マネージャに転送すると生成されます。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
このイベントは、現在実装されていません。 このイベントは、ENC エージェントがリスニング接続を作成できるかどうかを確認するためのエージェント ローカル認証チェックです。
このイベントは、現在実装されていません。 このイベントは、ENC エージェントが発信接続を作成できるかどうかを確認するためのエージェント ローカル認証チェックです。
保護されたオブジェクト: ターゲット ENC ノードのセキュリティ ID。
セキュリティ プリンシパル: リクエストを行う ENC クライアント ノードの認証 ID。
このイベントは、ENC エージェントが別の ENC エージェント ノードに接続しようとするたびに、ENC ゲートウェイ マネージャ ノードで生成されます。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: ENC ゲートウェイ ルータ ノードのセキュリティ ID。
セキュリティ プリンシパル: リクエストを行う ENC クライアント ノードの認証 ID。
このイベントは、ENC エージェントが別の ENC エージェント ノードに仮想接続を確立するためにルータに接続しようとすると、ENC ゲートウェイ ルータ ノードで生成されます。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、コンピュータのサブグループにアドレス指定するためのパターン照合式、または領域名、のいずれかにターゲットを指定できます。
保護されたオブジェクト: ターゲット ENC ノードのセキュリティ ID。
セキュリティ プリンシパル: リクエストを行う ENC クライアント ノードの認証 ID。
このイベントは、ENC ノードがシンボリック ホスト名から ENC プライベート アドレスに変換するために名前のルックアップ操作を実行しようとすると、ENC ゲートウェイ マネージャ ノードで生成されます。
ENC ゲートウェイ マネージャは、最初にターゲット DNS の名前を名前のルックアップ リクエストから抽出し、これを 1 つ以上のクライアント レコードに変換します(これにより、領域の内部ではなく、領域にわって重複したホスト名が許可されます)。 これらのクライアント レコードは、名前のルックアップ リクエストを許可する(か否か)を決定するために認可コンポーネントへ渡されます。 クライアント レコードは、既知の DNS 名およびオブジェクトの認証された ID で構成されます。
このイベントのアクセス制御エントリは、リテラルのコンピュータ ID (認証から)、領域名、またはコンピュータのサブグループや複数の領域にアドレス指定するためのパターン照合式のいずれかにターゲットを指定できます。
保護されたオブジェクト: ターゲット ENC ノードのセキュリティ ID。
セキュリティ プリンシパル: リクエストを行う ENC クライアント ノードの認証 ID。
このイベントは、ENC クライアント接続がターゲット ENC ゲートウェイに管理情報を要求すると生成されます。
管理情報には、承認されたノードのみにアクセスを許可するようにするために、ENC サーバがホストするすべての ENC 仮想接続に関するデータを含めることができます。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|