In diesem Beispiel wird für die Beschreibung der Autorisierungsregeln die Dateidefinition aus dem Befehlszeilen-Hilfsprogramm "encUtilCmd" verwendet. Für den DSM-Explorer gilt jedoch Entsprechendes, da die Regelsätze einander sehr ähnlich sind.
Mit dem Hilfsprogramm "encUtilCmd" und dem Befehl 'create' ist es möglich, einen einfachen Satz von Regeln zu generieren, die den unten beschriebenen ähneln. Dies bietet ebenfalls die Möglichkeit, gleichzeitig ein Testskript zum Ausprobieren der Regeln zu generieren.
In diesem Beispiel werden die folgenden Bereiche verwendet:
Dieser Bereich wird zum Aufbewahren aller Infrastrukturknoten (Manager, Server, Router usw.) verwendet. Die ENC-Infrastruktur wird durch Forward, Inc. verwaltet. In diesem Beispiel wird der Bereichsname zu seiner Hervorhebung in Klammern gesetzt, dies ist jedoch nicht erforderlich. Alle Bereichsnamen sind gleichwertig. Alle Infrastrukturcomputer besitzen Zertifikatsnamen mit dem gemeinsamen RDN (Relative Distinguished Name) "DC=forwardinc,DC=com".
Dies ist ein Beispielbereich, der alle Computer enthält, die zusammen die DSM-Infrastruktur bilden. Wir unterscheiden im Kontext zwischen der ENC-Infrastruktur und der DSM-Infrastruktur, um die Abgrenzung zwischen den Bereichen deutlicher zu machen. Alle DSM-Computer besitzen Zertifikatsnamen mit dem RDN "DC=forward-dsm,DC=com".
Dies ist ein Beispielbereich, der alle Computer des Unternehmens 'east' enthält. Alle 'east'-Computer besitzen Zertifikatsnamen mit dem RDN "DC=east,DC=com".
Dies ist ein weiterer Beispielbereich, der alle Computer des Unternehmens 'west' enthält. Alle 'west'-Computer besitzen Zertifikatsnamen mit dem RDN "DC=west,DC=com".
In diesem Beispiel werden die ENC-Knoten, da sie ebenfalls mindestens DSM-Agentenknoten sind, als eigenständige Geräte behandelt, die von den DSM-Knoten getrennt sind. In der DSM-ENC-Umgebung besteht in der Regel die Anforderung, dass DSM-Bereichsknoten alle Knoten innerhalb einzelner Bereiche sehen und eine Verbindung zu ihnen herstellen können und dass Bereichsagenten Verbindungen zu Knoten im DSM-Bereich herstellen können, dass jedoch Mitglieder eines verwalteten Bereichs Mitglieder eines anderen verwalteten Bereichs nicht sehen oder eine Verbindung zu ihnen herstellen können.
Sie müssen nun damit beginnen, Autorisierungsregeln zu definieren, damit die Infrastruktur kommunizieren kann und die Bereichscomputer Verbindungen herstellen und das virtuelle Netzwerk verwenden können. In der ersten Instanz müssen Sie die Bereiche deklarieren, damit diese verwendet und mit Querverweisen versehen werden können.
Nachfolgend sehen Sie einen Auszug für die Autorisierungsregeldatei: den Abschnitt "realm". Er definiert die vier oben genannten Bereiche.
realm
{Name "[Infrastruktur]" Hinweise "ENC-Infrastrukturbereich"}
{Name "[dsm]" Hinweise "Der DSM-Infrastrukturbereich"}
{Name "east" Hinweise "Kontakt von East Inc. ist admin@east.com"}
{Name "west" Hinweise "Kontakt von West Inc. ist admin@west.com"}
end
Der nächste Schritt besteht darin, die Zuordnung zwischen Zertifikats-URIs und den Bereichen selbst zu definieren. In diesem Beispiel wird für alle Einträge die Musterübereinstimmung verwendet.
URIMapping
{URI ".*,DC=forwardinc,DC=com" Enabled "1" Type "Pattern" Realm "[Infrastruktur]"}
{URI ".*,DC=forward-dsm,DC=com" Enabled "1" Type "Pattern" Realm "[dsm]"}
{URI ".*,DC=east,DC=com" Enabled "1" Type "Pattern" Realm "east"}
{URI ".*,DC=west,DC=com" Enabled "1" Type "Pattern" Realm "west"}
end
Als Nächstes beschäftigen Sie sich mit der weißen Liste der IP-Adressen. In diesem Beispiel lassen Sie für zwei öffentliche IPv4-Subnetze den Zugriff auf die ENC-Infrastruktur zu.
IPAddWhiteList
{IPAddress "130\.119\..+" enabled "1" Type "Pattern"}
{IPAddress "141\.202\..+" enabled "1" Type "Pattern"}
{IPAddress "131\.119\..+" enabled "1" Type "Pattern"}
end
Das letzte Element, das erstellt werden muss, bevor Sie mit den einzelnen Zugriffssteuerungseinträgen fortfahren, ist ein aktiver Zeitbereich. Für die Zwecke dieses Beispiels ist der Zeitbereich für alle Wochentage aktiv und umfasst alle 24 Stunden eines Tages.
TimeRange
{Name "Alle Tage" enabled "1" Hours "00:00 - 00:00" Type "normal" Weekdays "sunday - saturday"}
end
Jetzt sind alle grundlegenden Elemente vorhanden, die Sie benötigen, um mit den Zugriffsregeln fortzufahren. Sie können sich nun auf die Zugriffssteuerungseinträge selbst konzentrieren. In diesem Beispiel verwenden Sie für mehr Klarheit hauptsächlich einzelne Zugriffssteuerungseinträge. Unter realen Bedingungen kann es einfacher und effizienter sein, mehrere Regeln zu einer einzigen Regel zusammenzufassen.
Nachfolgend sehen Sie nur zu Beispielzwecken einen einzelnen Zugriffssteuerungseintrag. Alle hier beschriebenen Regeln müssen wie nachfolgend dargestellt zwischen den Tags "TimeACL" und "end" definiert oder in der Konfigurations-UI erstellt werden.
Diese Regel mit dem Namen "AC-[Infrastruktur]-[Infrastruktur]" definiert einen Eintrag, der allen Mitgliedern des Infrastrukturbereichs erlaubt, auf andere Mitglieder des Infrastrukturbereichs zuzugreifen und sich bei ihnen zu authentifizieren. Sie referenziert den Zeitbereich 'Alle Tage', den Sie zuvor definiert haben, und ist daher jeden Tag den ganzen Tag lang aktiv.
TimeACL
{Name "AC-[Infrastruktur]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[Infrastruktur]" SecObjType "realm" SecObj "[Infrastruktur]" Events "AuthenticatedConnection"}
...
end
Sie müssen ähnliche Regeln für die anderen Bereiche hinzufügen, in diesem Fall für '[dsm]', 'east' und 'west'. Die Regeln sind mit den oben angegebenen Regeln identisch, abgesehen davon, dass der Sicherheitsprinzipal in den dieser anderen Bereiche geändert wird, wie nachfolgend dargestellt.
{Name "AC-[dsm]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "[Infrastruktur]" Events "AuthenticatedConnection"}
{Name "AC-east-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[Infrastruktur]" Events "AuthenticatedConnection"}
{Name "AC-west-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[Infrastruktur]" Events "AuthenticatedConnection"}
Jetzt definieren Sie weitere Infrastruktureinträge. Zu den Einträgen gehören Kommentare, die ihren Zweck angeben. Wie zuvor erwähnt, wäre es möglich, diese zu einem einzigen Eintrag zu rationalisieren, bei dem das Feld "Events" auf "ManagerRegisterServer ServerRegisterRouter ManagerRegisterRouter ManagerRegisterAgent" gesetzt wird. Das Trennen der Regeln besitzt den Vorteil, dass die Verifizierungstools und die Auditing-Protokollierung innerhalb der ENC-Subsysteme den eindeutigen Regelnamen verwenden, wenn sie aufzeichnen, warum ein Vorgang zugelassen oder nicht zugelassen wurde.
; Dieser Eintrag ermöglicht, dass alle Infrastrukturknoten einen Server beim Manager registrieren können.
{Name "MRS-[Infrastruktur]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[Infrastruktur]" SecObjType "realm" SecObj "[Infrastruktur]" Events "ManagerRegisterServer"}
;
; Dieser Eintrag ermöglicht, dass alle Infrastrukturknoten einen Router bei einem Server registrieren können.
{Name "SRR-[Infrastruktur]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[Infrastruktur]" SecObjType "realm" SecObj "[Infrastruktur]" Events "ServerRegisterRouter"}
;
; Dieser Eintrag ermöglicht, dass alle Infrastrukturknoten einen Router beim Manager registrieren können.
{Name "MRR-[Infrastruktur]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[Infrastruktur]" SecObjType "realm" SecObj "[Infrastruktur]" Events "ManagerRegisterRouter"}
;
; Dieser Eintrag ermöglicht, dass alle Infrastrukturknoten einen Client beim Manager registrieren können.
{Name "MRA-[Infrastruktur]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[Infrastruktur]" SecObjType "realm" SecObj "[Infrastruktur]" Events "ManagerRegisterAgent"}
Jetzt müssen Sie die Möglichkeit zur Registrierung auf den Infrastrukturknoten für die DSM und die verwalteten Bereiche deklarieren. Die folgenden Einträge liefern diese Konfiguration.
{Name "SRA-[dsm]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "[Infrastruktur]" Events "ServerRegisterAgent"}
{Name "SRA-east-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[Infrastruktur]" Events "ServerRegisterAgent"}
{Name "SRA-west-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[Infrastruktur]" Events "ServerRegisterAgent"}
Die ENC-Gateway-Router erfordern außerdem eine Autorisierungskonfiguration für alle Knoten, die mit ihnen verbunden und durch sie geroutet werden. Die folgenden Einträge definieren dies.
; Diese Einträge ermöglichen, dass alle DSM-Knoten eine Verbindung zu Routern im Infrastrukturbereich herstellen können.
{Name "RAC-[dsm]-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "[dsm]" SecObjType "realm" SecObj "[Infrastruktur]" Events "RouterAgentConnect"}
; Diese Einträge ermöglichen, dass alle Agentenknoten der genannten Bereiche eine Verbindung zu Routern im Infrastrukturbereich herstellen können.
{Name "RAC-east-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[Infrastruktur]" Events "RouterAgentConnect"}
{Name "RAC-west-[Infrastruktur]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[Infrastruktur]" Events "RouterAgentConnect"}
Sie verfügen nun über eine ausreichende Menge an Konfigurationsdaten, um allen ENC-Knoten aus der DSM und den verwalteten Bereichen zu ermöglichen, Verbindungen zu allen Knoten in der ENC-Infrastruktur herzustellen, sich bei ihnen zu authentifizieren und sich auf ihnen zu registrieren. Der nächste Schritt besteht darin, die Namensabfrage- und die Agentenverbindungs-Funktionalität zuzulassen. Die folgenden Einträge definieren dies.
Es gibt für die Regeln für alle Knoten Entsprechungen: Die verwalteten Bereiche dürfen die Namen aller mit DSM ENC verbundenen Computer abfragen. Die mit DSM ENC verbundenen Computer wiederum dürfen die Namen aller Mitglieder der verwalteten Bereiche abfragen. Die Regeln und ihre Entsprechungen müssen explizit wie unten dargestellt angegeben werden.
Beachten Sie, dass es keine Regeln gibt, mit denen es 'east' ermöglicht wird, 'west' zu sehen, und umgekehrt auch keine Regeln, mit denen es 'west' ermöglicht wird, 'east' zu sehen. Deshalb sind keine Abfragen von einem Bereich zum anderen möglich. Diese Namespace-Trennung ist für den sicheren Betrieb des virtuellen Netzwerks ausschlaggebend.
; Diese Einträge ermöglichen, dass alle Agentenknoten der genannten Bereiche Abfragen nach ENC-Mitgliedern im DSM-Bereich durchführen können.
{Name "NL-east-[dsm]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events "ManagerNameLookup"}
{Name "NL-west-[dsm]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events "ManagerNameLookup"}
; Diese Einträge ermöglichen, dass alle DSM-Knoten Abfragen nach ENC-Mitgliedern in den genannten Bereichen durchführen können.
{Name "NL-[dsm]-east" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events "ManagerNameLookup"}
{Name "NL-[dsm]-west" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events "ManagerNameLookup"}
Die folgenden Einträge ermöglichen den Agenten, Verbindungen zu und von der DSM und den verwalteten Bereichen herzustellen. Es wäre wiederum möglich gewesen, diese Einträge mit dem vorherigen Regelsatz zu kombinieren, die Trennung ermöglicht jedoch eine detailliertere Protokollierung und Problembehebung für die Regeln.
; Diese Einträge ermöglichen, dass alle Agentenknoten der genannten Bereiche eine Verbindung zu ENC-Mitgliedern im DSM-Bereich herstellen können.
{Name "ACN-east-[dsm]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events "AgentConnect"}
{Name "ACN-west-[dsm]" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events "AgentConnect"}
; Diese Einträge ermöglichen allen DSM-Knoten, eine Verbindung zu ENC-Mitgliedern in den benannten Bereichen herzustellen.
{Name "ACN-[dsm]-east" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "east" SecObjType "realm" SecObj "[dsm]" Events "AgentConnect"}
{Name "ACN-[dsm]-west" enabled "1" RuleType "allow" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "west" SecObjType "realm" SecObj "[dsm]" Events "AgentConnect"}
Damit ist der Beispiel-Regelsatz abgeschlossen.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|