Vorheriges Thema: EreignistypenNächstes Thema: server – Anzeige des Status des ENC-Gateway-Servers

Verwenden von encUtilCmdFormat der Regeldatei

Format der Regeldatei

In diesem Abschnitt wird das Format der Autorisierungsregeldatei definiert. Der folgende Auszug verdeutlicht den grundlegenden Aufbau der Datei.

Der Abschnittstitel [authz] und die Versionsschlüssel müssen die ersten Einträge in der Datei sein.

Die einzelnen Abschnitte (timeRange, timeacl, URIMapping dnsmapping und IPAddWhiteList) müssen nicht alle vorhanden oder in einer vorgegebenen Reihenfolge angeordnet sein. Wenn sie jedoch vorhanden sind, müssen sie alle mit einem "end"-Schlüsselwort beendet werden.

Die Reihenfolge von Datensätzen innerhalb der einzelnen Abschnitte ist wichtig, und sie wird eingehalten.

Das Symbol '+*' am Ende mancher Zeilen gibt an, dass in einem Abschnitt mehrere Einträge vorhanden sein können. Es darf nicht in eine echte Datei eingegeben werden.

[authz]
RulesVersion=n

realm
{ Name xxx Anmerkungen yyy}+*
end

timeRange
{Name xxx aktiviert x Stunden hhh Typ ttt Wochentage www Jahr jjjj Monat mmm Tag ttt}+*
end

timeacl
{Name xxx aktiviert x SecPrincType xxx Ereignisse xxx RuleType xxx TimeRange xxx SecPrinc xxx SecObj xxx SecObjType xxx }+*
end

URIMapping
{URI xxx aktiviert x Typ xxx Bereich xxx}+*
end

IPAddWhiteList
{IPAddress aktiviert x xxx Typ xxx}+*
end

Eine detaillierte Darstellung der einzelnen Abschnitte und Einträge folgt.

Für alle Datensatztypen gilt: Wenn ein Wert Leerzeichen enthält, muss er in doppelte Anführungszeichen gesetzt werden, um den Anfang und das Ende des Wertes zu kennzeichnen. Beispiel: 

Name "dies ist der Datensatzname"

Außerdem muss jeder Datensatz mit einer öffnenden geschweiften Klammer ('{') beginnen und mit einer schließenden ('}') enden.

Allgemeine Attribute:

Es gibt einige Attribute, die in zwei oder mehr Abschnitten verwendet werden. Diese werden hier genauer beschrieben.

Attribut: 'aktiviert'

Setzen Sie dieses Attribut auf '1', um den einzelnen Datensatz zu aktivieren, oder auf '0', um ihn zu deaktivieren.

Deaktivierte Datensätze werden dennoch verarbeitet, validiert und gespeichert, die Autorisierungskomponente führt jedoch keine Aktion für sie durch.

Attribut: 'Name'

Ein lesbarer Name zur Beschreibung des timeRange- oder des timeacl-Eintrags. Dieser Name wird nicht zu Zwecken der direkten Autorisierung verwendet, er wird jedoch zu Diagnosezwecken und zum Erstellen eines Querverweises zwischen einem Zugriffssteuerungseintrag und einem Zeitbereich verwendet. Beispielsweise könnte ein timeRange-Eintrag für den 1. Januar "Neujahr" heißen.

Abschnitt: Realm

Dieser Abschnitt definiert Bereichsnamen für nachfolgende Abschnitte.

Attribut: 'Name'

Dieses Attribut definiert den Namen eines Bereichs zur nachfolgenden Verwendung. Normalerweise sollte der Bereichsname für die Mitgliedschaftsliste aussagekräftig sein.

Attribut: 'Anmerkungen'

Dieses Attribut bietet die Möglichkeit zum Hinzufügen von Anmerkungen für diesen Bereichseintrag. Die Anmerkungen werden in keiner Weise interpretiert, sie werden jedoch in der grafischen Benutzeroberfläche für die Autorisierungskonfiguration angezeigt.

Abschnitt: timeRange

Dieser Abschnitt definiert Zeitbereiche für die anschließende Verwendung durch den timeacl-Abschnitt.

Zeitbereiche können entweder generische Wochentagsbereiche oder ein bestimmtes Datum, wie einen Feiertag, eine geplante Wartung usw., beschreiben.

Das erste Attribut-Wert-Paar in jedem timeRange-Eintrag muss das Namensattribut sein.

Attribut: 'Name'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'aktiviert'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'Stunden'

Dieses Attribut beschreibt die Stunden, in denen der Zeitbereich wirksam ist. Der Eintrag 'Stunden' kann auf Zeiträume von 30 Minuten festgelegt werden. Der Wert für 'Stunden' kann als einzelner Eintrag, als Bereich mit einem Start- und einem Endzeitpunkt oder in Form von mehreren Bereichen angegeben werden.

  • Der Wert “7:00” für "Stunden" bedeutet 7:00 bis 7:29:59 lokaler Zeit.
  • Der Wert “9:00– 17:00” für "Stunden" bedeutet 9:00 bis 17:00:00 lokaler Zeit.
  • Der Wert “9:00 – 11:30 13:00 – 17:00” für "Stunden" bedeutet 9:00 bis 11:30:00 und 13:00 bis 17:00.00 lokaler Zeit.
Attribut: 'Typ'

Das Attribut 'Typ' bestimmt die Art des Zeitbereichseintrags. Seine möglichen Werte sind 'normal' und 'speziell'.

  • Der Wert 'normal' definiert einen normalen Datensatz, der die 'Wochentage'-Werte verwendet, um zu bestimmen, wann er aktiv ist. Wenn der Typ 'normal' ist, muss das Attribut-Wert-Paar 'Wochentage' vorhanden sein.
  • Der Wert 'speziell' definiert einen Datensatz, der nur für ein bestimmtes Datum gültig ist. Wenn der Typ 'speziell' ist, müssen die Attribut-Wert-Paare 'Jahr', 'Monat' und 'Tag' vorhanden sein.
Attribut: 'Wochentage'

Das Attribut 'Wochentage' definiert die Zeiträume, in denen ein normaler Zeitbereich aktiv ist. Der Wert kann ein einzelner Tag, mehrere einzelne Tage, ein Tagebereich oder mehrere Tagebereiche sein.

  • Der 'Wochentage'-Eintrag "Sonntag" würde beispielsweise einen Zeitbereich definieren, der nur sonntags aktiviert ist.
  • Der 'Wochentage'-Eintrag "Montag Freitag" würde einen Zeitbereich definieren, der nur montags und freitags aktiviert ist.
  • Der 'Wochentage'-Eintrag "Sonntag-Dienstag" würde einen Zeitbereich definieren, der von Sonntag bis Dienstag aktiviert ist.
  • Der 'Wochentage'-Eintrag "Sonntag-Montag Mittwoch-Donnerstag Samstag" würde einen Zeitbereich definieren, der von Sonntag bis Montag, von Mittwoch bis Donnerstag und am Samstag aktiviert ist (Dienstag und Freitag nicht aktiv).
Attribut: 'Jahr', 'Monat', 'Tag'

Diese Attribute werden zusammengefasst, da sie alle für den Typ 'specialdaytype' vorhanden sein müssen.

  • Der Wert 'Jahr' ist eine vierstellige numerische Darstellung des gewünschten Jahres.
  • Der Wert 'Monat' ist ein numerischer Wert, der den Monat darstellt. Gültige Werte sind die Zahlen "1" bis "12", die für die Monate Januar bis Dezember stehen.
  • Der Wert 'Tag' ist ein numerischer Wert, der mit den Zahlen "1" bis "31" den Tag darstellt.

Wenn einer der Sondertagwerte Null (0) ist, dient die Null als Platzhalterzeichen, das mit jedem Jahr, Monat oder Tag übereinstimmt.

Abschnitt: timeacl

Dieser Abschnitt definiert einzelne zeitbasierte Zugriffssteuerungseinträge (TACEs) für eine Zeit-ACL (zeitbasierte Zugriffssteuerungsliste).

Das erste Attribut-Wert-Paar in jedem timeacl-Eintrag muss das Namensattribut sein.

Attribut: 'Name'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'aktiviert'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'SecPrincType'

Dieser Attributwert definiert den Typ des Abgleichs, der bei der Verwendung dieses TACEs durchgeführt werden soll. Der Wert kann 'Normal', 'Muster' oder 'Bereich' lauten.

  • Wenn der Wert 'Normal' festgelegt ist, ist der TACE nur für die Identität aktiv, die genau mit dem Wert des Attributs 'SecPrinc' übereinstimmt.
  • Wenn der Wert 'Muster' festgelegt ist, ist der TACE für alle Identitäten aktiv, die mit dem regulären Ausdruck im Wert des Attributs 'SecPrinc' übereinstimmen.
  • Wenn der Wert 'Abschnitt' festgelegt ist, ist der TACE für alle Identitäten aktiv, die mit dem regulären Ausdruck im Wert des Attributs 'SecPrinc' übereinstimmen.
Attribut: 'Ereignisse'

Dieses Attribut definiert das Ereignis oder die Ereignisse, für die dieser TACE gilt. Die Ereignisnamen sind die im Abschnitt "Ereignistypen" definierten Namen.

Attribut: 'RuleType'

Dieses Attribut definiert den Typ des TACEs. Der Wert lautet 'zulassen' oder 'verweigern'.

Attribut: 'TimeRange'

Dieses Attribut ist ein Querverweis auf einen Zeitbereichseintrag. Es steuert, wann der TACE aktiv ist. Der Attributwert sollte mit dem Namen des Zeitbereichs übereinstimmen. Das Import-Hilfsprogramm überprüft, ob jeder TACE auf einen gültigen Zeitbereich verweist (es erzwingt jedoch nicht das Flag 'aktiviert' für einen Zeitbereich).

Attribut: 'SecPrinc'

Hierbei handelt es sich um den expliziten Namen eines Sicherheitsprinzipals, einen regulären Ausdruck, der für eine Übereinstimmung mit mehreren Sicherheitsprinzipalen verwendet wird, oder um einen Bereichsnamen

Attribut: 'SecObj'

Hierbei handelt es sich um den expliziten Namen eines gesicherten Objekts (das Ziel eines Vorgangs) oder einen regulären Ausdruck, der für eine Übereinstimmung mit mehreren gesicherten Objekten verwendet wird.

Attribut: 'SecObjType'

Dieses Attribut definiert den Zeichenfolgentyp im 'SecObj'-Attribut.

Derzeit sind die folgenden Typen definiert:

  • 'Standard'
  • 'Muster'
  • 'Bereich'
Abschnitt: URIMapping

Dieser Abschnitt definiert, wie Sicherheitsprinzipalnamen Bereichen zugeordnet werden. Das erste Attribut-Wert-Paar in jedem Eintrag muss das Schlüsselwort 'URI' sein.

Attribut: 'URI'

Diese Zeichenfolge wird für den Vergleich mit der Identität des Sicherheitsprinzipals verwendet, um die Bereichszugehörigkeit zu bestimmen.

Attribut: 'aktiviert'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'Typ'

Dieses Attribut definiert den Typ des Eintrags. Mögliche Werte sind 'Normal' oder 'Muster'.

  • Wenn der Wert 'Normal' festgelegt ist, wird der URI-Wert als genaue Übereinstimmung für die Bereichszugehörigkeit verwendet.
  • Wenn der Wert 'Muster' festgelegt ist, wird der URI-Wert als regulärer Ausdruck für die Musterübereinstimmung verwendet.
Attribut: 'Bereich'

Dieses Attribut definiert den Namen des Bereichs oder der Bereiche, denen der Sicherheitsprinzipal zugeordnet wird.

Mehrere Bereiche können angegeben werden, indem die einzelnen Bereichsnamen durch das Symbol '#' voneinander getrennt werden.

Es gibt den speziellen Bereichsnamen '*', der mit allen Bereichen übereinstimmt. Ein Prinzipal, der einem Bereich mit dem Namen '*' zugeordnet ist, kann auf alle Bereiche zugreifen. Die Bereichszugehörigkeit '*' sollte nur in seltenen Fällen verwendet werden, und nur dann, wenn Sie sich vollständig über die Auswirkungen für die Sicherheit im Klaren sind.

Abschnitt: IPAddWhitelist

Der Abschnitt definiert die Liste von IP-Adressen, die eine Verbindung zum Zielknoten herstellen dürfen.

Das erste Attribut-Wert-Paar in jedem Eintrag muss das Schlüsselwort 'ipaddress' sein.

Attribut: 'ipaddress'

Diese Zeichenfolge definiert eine explizite IP-Adresse oder einen regulären Ausdruck für eine Musterübereinstimmung mit der eingehenden IP-Adresse.

Attribut: 'aktiviert'

Wie im Abschnitt zu den allgemeinen Attributen beschrieben.

Attribut: 'Typ'

Definiert den Typ dieses Eintrags der Weißen Liste. Mögliche Werte sind 'Normal' oder 'Muster'.

  • Wenn der Wert 'Normal' festgelegt ist, muss die IP-Adresse genau übereinstimmen, damit das Fortfahren zugelassen wird.
  • Wenn der Wert 'Muster' festgelegt ist, muss die IP-Adresse eine Musterübereinstimmung aufweisen, damit das Fortfahren zugelassen wird.