en-US - - Hungarian (Hungary)

PassMan jogosultság beállítások

1. Jogosultságsegéd engedélyezése (Force visibility rights)

Jogosultság kiosztásnál előfordulhat, hogy a kívánt jogosultsággal rendelkező személy nem rendelkezik Egység láthatósága joggal, és ezért annak ellenére, hogy joga van adott elemen műveletet végezni, nem látja az elemet, ezért nem tud rajta művelelet végezni, vagyis akadályba ütközik napi munkája során.

A Padmin-ban történő engedélyezéstől függően a jogosultságbeállítás folyamán a PassMan leellenőrzi, hogy a jogosultságot kapó felhasználónak van-e Egység láthatósági joga, és ha nincs ilyen, akkor létrehozza a szükséges (még hiányzó) olvasási jogosultságot.

A jogosultságbeállítási segítség, csak abban az esetben fut le, ha adott elemen a beállítandó felhasználónak Egység láthatóság jog tiltás nincs beállítva.

Ebben az esetben a következő hibaüzenetet kapjuk:

        


2. Jogosultág-kiértékelési mód beállítása

A PassMan jogbeállításainak kiértékeléséhez háromféle súlyozás választhatunk a Padmin-ban:


       


Ahhoz, hogy megértsük a működések közti különbséget, fontos tisztáznunk, hogy

A PassManban Felhasználó, Csoport és Mindenki jogok vannak, vagyis nekik tudunk jogot beállítani.

A PassMan / Hozzáférés beállítás-ban megadott jogokat 3 különböző módon kiértékelni.


Először megvizsgálja, hogy ALL 'rétegen' milyen szabályokat adtunk meg. Ezt követik a csoportok kiértékelése (ha vannak), majd az egyéni felhasználókra vonatkozó kifejezett (explicit) szabályok.


Szabály-sorrend mód: 

Először a felhasználó, majd a csoport, majd a Mindenki jogokat értékeli ki a rendszer. Egymás után. Végigmegy az elemen beállított összes felhasználói jogon, ha nincs jogosultság beállítva (engedélyezés vagy tiltás!), akkor ellenőrzi a csoportszabályokat, és ha itt sincs egyezés, akkor a Mindenki szabályt értékeli ki.

  1. Először megnézi a PassMan, hogy adott elemhez adott felhasználónak van-e felhasználó joga.
    1. Megnézi az összes felhasználó szabályt, és azt ellenőrzi, hogy van-e hozzáférése vagy tiltása
    2. Ha talált ilyet: vagy hozzáférést vagy tiltást), akkor a jogosultságellenőrzés folyamata leáll, és a felhasználó el tudja végezni a kért művelet vagy hibaüzenetet kap, hogy nincs joga a művelet elvégzéséhez.
  2. Ha nem talált a PassMan a felhasználóra beállított felhasználó szabályt, akkor a rendszer ellenőrzi, hogy a Csoport szabályok között lévő csoportoknak a felhasználó a tagja-e.
    1. Ha talált ilyet: vagy hozzáférést vagy tiltást), akkor a jogosultságellenőrzés folyamata leáll, és a felhasználó el tudja végezni a kért művelet vagy hibaüzenetet kap, hogy nincs joga a művelet elvégzéséhez.
  3. Ha nem talált a PassMan olyan csoport szabályt, amely csoportnak adott felhasználó a tagja, akkor ellenőrzi, hogy létezik-e Mindenkire vonatkozó szabály
    1. Ha létezik, akkor az adott felhasználóra ez fog vonatkozni, és a jogosultságellenőrzés folyamata leáll, és a felhasználó el tudja végezni a kért művelet vagy hibaüzenetet kap, hogy nincs joga a művelet elvégzéséhez.
  4. Ha nem talált a PassMan Mindenkire vonatkozó szabályt, akkor a felhasználónak a jogosultsága közvetlenül nem határozható meg, ezért a jogosultság öröklődés miatt a fában egy szinttel feljebb kell lépni és a szabályok ellenőrzését a fentiek szerint ismételten el kell végezni.
    1. Ha lesz egyezés, akkor az adott felhasználóra ez fog vonatkozni, és a jogosultságellenőrzés folyamata leáll, és a felhasználó el tudja végezni a kért művelet vagy hibaüzenetet kap, hogy nincs joga a művelet elvégzéséhez.
  5. Ha nem lesz egyezés, akkor újra feljebb lép a fában egy szinttel, és újra elvégzi a szabályok kiértékelését. Ezt rekurzívan teszi, egészen a legfelső szintig, a széf szintjéig.
    1. Ha talál egyezést, akkor a jogosultságellenőrzés folyamata leáll, és a felhasználó el tudja végezni a kért művelet vagy hibaüzenetet kap, hogy nincs joga a művelet elvégzéséhez.
    2. Ha a széfen se talál egyezést, akkor a felhasználónak nem lesz joga a művelet elvégzéséhez.


A szabálykiértékelés folyamatából látszik, hogy Szabály-sorrend módban a jogosultságrendszerben nem állhat elő ütközés, mert az első olyan szabály esetén, ami érvényes a felhasználóra, befejeződik a jogosultságkiértékelés.

De mi van akkor, ha a felhasználó és csoportjogosultágot egyszerre akarjuk kiértékelni, vagyis figyelembe akarjuk venni mindkét típusú szabályt. Ekkor meg kell határoznunk, hogy az esetleges jogosultságütközés esetén melyik legyen az erősebb az engedélyezés vagy a tiltás.

Az engedélyezés (ACCEPT) módban működő PassMan-ban a felhasználók láthatják a mappákat, az eszközöket, de a jelszókat csak megfelelő jogosultság esetén láthatják.

Az ACCEPT mód egy "megengedő" jogosultságkiértékelést alkalmaz, tehát csoportmunka támogató, de kevésbé tekinthatő biztonságosnak, minat a DENY mód. 


ACCEPT mód: 

A kiértékelés kifejezetten az Accept tételeket (megengedő jog-bejegyzéseket) keresi. Először Mindenkire, majd csoportokra vonatkozó bejegyzéseket tekint át, 

végül az egyénieket. Ha 'Mindenki're talál allow bejegyzést, akkor az adott felhasználó biztosan megkapja ezt a jogot (akkor is, ha neki személy-szerint deny van beállítva).

Az egyéni felhasználó akkor is tehet szert jogokra, ha a csoportja kapta meg az 'Allow' bejegyzéseket. Ez esetben a kiértékelés el sem jut az egyéni DENY bejegyzés feldolgozásához (ha lenne ilyen).

(Itt kifejezett egyéni tiltás ellenére is kaphat jogot az felhasználó, amennyiben a fenti 'kétes' esetek fennállnak: tehát magasabb 'rétegen' van már egy Allow bejegyzés. Olyankor az fog győzni

Csak az szabad, ami magasabb szinten meg van adva, hogy szabad)


DENY mód

Ez a legszigorúbb ág, itt a felhasználó biztosan nem szerezhet többlet-jogot csoporttagságból adódóan. (és mindenki mögé bújva sem, mint Accept módban)


A kiértékelés ez esetben csakis a Deny 'jogfosztás' bejegyzései mentén halad, kezdve a 'Mindenki'vel (ha van), majd csoportokkal és végül az egyéni felhasználók deny bejegyzéseivel.

Az Accept-móddal ellentétben itt a felhasználó deny üzemmódba kerül, ha a ALL:DENY szerepel, vagy olyan csoport tagja a felhasználó, melynek tiltva vannak a jogai. 

Ide nem elegendő csupán, hogy az illetőnek kifejezett (explicit) All:ALLOW joga van, mert az értékelés csak a tiltásokat is vizsgálja a magasabb rétegeken.

Az üzemmód szigorú, de biztonságos, mivel 'minden tiltás számít' és fajsúlyos az eredmény szempontjából.

(Csak akkor szabad valami, ha egyéni és felsőbb szinteken sincs tiltva - és valamelyik szinten allow bejegyzés is található - a jogot megerősítve)


  • Fontos megjegyezni, hogy a Deny ág ellenére is minden felhasználó hozzáférhet a saját privát mappájához: annak elemeit láthatja és dolgozhat velük (teljes jogkörrel)
  • A szuperadmin felhasználó a Deny ág ellenére is minden mappát és elemeit láthatja (teljes read jog), és frissítheti a szabályokat, így teljes ACL-t adhat magának mindhárom módban!