Die Autorisierungsregeln für den ENC-Gateway-Dienst werden über den DSM-Konfigurationsrichtlinien-Editor konfiguriert. Anders als bei anderen Richtlinienabschnitten besteht kein direkter Zugriff auf die zugrunde liegenden Autorisierungstabellen, und die Konfiguration erfolgt über ein Dialogfeld. Das Dialogfeld verwaltet Abhängigkeiten zwischen Tabellen und führt eine Vorab-Evaluierung der angegebenen Regeln durch.
Die Konfigurationsansicht umfasst fünf Registerformate im Konfigurationsdialogfeld. Dies sind die Registerkarten und deren Inhalte:
Diese Ansicht bietet die Möglichkeit, einen ENC-Bereich anzuzeigen oder zu definieren und kurze Anmerkungen hinzuzufügen, die für den Bereich relevant sind.
Diese Ansicht bietet die Möglichkeit, die Zuordnung zwischen authentifizierten Objekten und deren Bereichszugehörigkeit zu prüfen oder zu definieren. Das Schlüsselfeld enthält die authentifizierte Identität in Form eines URI. Die URI-Bereichszuordnung erfolgt über einen vollständig angegebenen URI, der genau übereinstimmen muss, oder einen als regulären Ausdruck angegebenen URI für eine Übereinstimmung mit mehreren URIs.
Die gesamte Autorisierungszugriffssteuerung in ENC kann zeitlich beschränkt werden. Diese Registeransicht bietet die Möglichkeit, einen Zeitbereich zur Verwendung durch einzelne Zugriffssteuerungseinträge zu definieren. Einträge können entweder "normale Wochentage" sein, wobei der Zeitbereich für einen oder mehrere Tage zwischen Sonntag und Samstag gilt, oder "spezielle Daten", z. B. Neujahr usw.
Die Stunden, für die der Zeitbereich gültig ist, werden als Start- und Endzeit im 24-Stunden-Format angegeben, z. B. "00:00 - 00:00" für einen Zeitraum von vollen 24 Stunden. Der Zeitbereich kann in Schritten von 30 Minuten festgelegt werden, daher muss bei allen Einträgen der Minutenwert "00" oder "30" lauten.
Diese Registerkarte bietet Zugriff auf die zeitbasierten Zugriffssteuerungseinträge. Jeder Eintrag ermöglicht Ihnen, benannte Regeln anzugeben, die Aktivitäten zulassen oder verweigern (Regeln, die den Zugriff verweigern, haben Vorrang vor Regeln, die den Zugriff zulassen). Der TACE-Name wird in Audit-Einträgen erfasst und auch durch den Hilfsprogramm-Befehl angezeigt, wenn Zugriffe auf Testregelsätze simuliert werden. Daher wird empfohlen, ggf. aussagefähige Namen für die einzelnen Regeln zu verwenden.
Der Zugriffssteuerungseintrag kann ein einzelnes Ereignis steuern oder aggregiert werden, um mehrere Ereignisse innerhalb einer einzigen Regel zu steuern. Für jede Regel gibt es eine geschützte Ressource, das gesicherte Objekt, und ein darauf zugreifendes Objekt, den Sicherheitsprinzipal.
Diese Registerkarte zeigt die Tabelle mit der weißen Liste der IP-Adressen an. Jeder Eintrag kann entweder eine einzelne IP-Adresse oder ein IP-Adressbereich sein, der durch einen Musterübereinstimmungs-Ausdruck angegeben wird. Die Infrastruktur-Computer akzeptieren nur Verbindungen von Computern mit den angegebenen Adressen.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|